COMUNIDADE

Forcepoint e a importância da análise de comportamento (UEBA)

Forcepoint promove debate sobre o conceito UEBA e análise comportamental

No final de março a empresa de segurança Forcepoint realizou em São Paulo um encontro com clientes e profissionais de segurança para apresentar e discutir o conceito de User and Entity Behavior Analytics (UEBA). Se o nome não foi totalmente explicativo para você, vamos tentar ajudar.

Pude me aprofundar neste conceito, pois eu mediei uma interessantíssima discussão, na qual aprendi muito, realizada entre os profissionais de segurança da Forcepoint, Wellington Lobo (Gerente de Canais Brasil), William Rodrigues (Senior Sales Engineer) e Ricardo Tavares (Professor coordenador de Segurança da Informação e consultor especializado em cybersecurity).


Debate sobre UEBA

Durante muito tempo a segurança foi pensada como um processo reativo, ou seja, era algo que as empresas precisavam lidar apenas no caso de um evento, uma invasão, uma ameaça real. Sistemas de defesa como os firewalls, incluindo os de nova geração, bem evoluídos e sofisticados, passaram a fazer uma parte importante da tarefa de blindar a empresa das ameaças. Mas será que isso é suficiente?

Com certeza frente aos tipos de ameaça que existem hoje, nem um pouco! Nem sempre o “atacante” está apenas fora da organização. Nem sempre as possíveis ameaças são previamente conhecidas. A receita de “assinatura do ataque” já foi importante, mas hoje em dia a abordagem deve ser bem mais minuciosa para consolidar uma proteção efetiva.

Que fique claro que as proteções já existentes precisam permanecer, mas algo mais precisa ser considerado. Sobre isso que consiste o conceito do UEBA. A análise do comportamento de usuários e “entidades” (que podem ser dispositivos na rede), traz um nível de análise que incrementa muito o grau de segurança.

Os usuários internos são monitorados constantemente e em função de suas ações (que podem estar sendo feitas por eles ou por alguém que se apropriou de suas credenciais), são confrontadas com regras e políticas estabelecidas. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Que sentido faz um roteador reiniciar sozinho na madrugada ou porque um sensor qualquer está recebendo acessos em volume igual ou maior que o volume de dados que ele envia? E por que um usuário que não grava arquivos em mídias removíveis, ou acessando fora do horário de trabalho, está fazendo isso?

Estas ações sozinhas podem não significar nada, mas a grande inteligência do UEBA é a contextualização das análises e assim tornar muito significativo os eventos de segurança. Outra tecnologia muito importante usada pelas empresas é o SIEM (Security information and event management) que gera uma massa de dados grande, que em conjunto com o UEBA, com sua inteligência, viabiliza a monitoração e determinação de riscos ou ameaças em progresso.

A Forcepoint tem uma solução bastante abrangente contendo sofisticações úteis e interessantes. O contexto de um evento gerado por um usuário é totalmente definido por várias formas, entre elas, por meio da captura de sua sessão de uso do dispositivo (imagens e vídeo), acesso à rede, email, etc. Estes dados podem ser usados para análise forense de incidente ou mesmo para a atribuição do grau de risco do usuário e disso decorrer maior acompanhamento das ações ou restrição de alguns acessou ou privilégios deste usuário.


Debate sobre UEBA


Debate sobre UEBA

O conceito do UEBA pode ser ainda explorado no texto abaixo, de autoria da Forcepoint no qual é mostrada a importância da abordagem analítica além do tradicional enfoque defensivo.


Forcepoint reforça a importância do ponto humano para a contenção das ciberameaças

Companhia enxerga a abordagem analítica tão importante quanto a defensiva para as estratégias de cibersegurança, com a tecnologia UEBA sendo crucial para a mitigação dos riscos

Muitas são as lacunas para se proteger contra as ciberameaças, que seguem em rápida evolução, enquanto as pessoas se mantêm constantes no que se refere às ações de acesso digital e estão no centro dos incidentes de segurança. Uma pesquisa mundial do Fórum de Segurança da Informação descobriu que a maioria das violações desastrosas veio de comportamentos acidentais ou inadvertidos de bons funcionários, sem intenção de prejudicar sua organização.

O ponto humano de interação entre pessoas, dados críticos de negócios e propriedade intelectual – onde a tecnologia é mais habilitadora e a segurança mais vulnerável – pode minar até mesmo os sistemas de ciberdefesa mais robustos e abrangentes com um único ato malicioso ou acidental. Para a Forcepoint, concentrar os esforços em proteger e analisar os comportamentos digitais resultantes da interação humana com a tecnologia da informação e dados críticos é uma oportunidade para causar um profundo impacto na segurança e maximizar os investimentos.

Em evento realizado para clientes locais, a Forcepoint explorou a abordagem da tecnologia de User and Entity Behavior Analytics (UEBA) para a contenção mais eficaz das ciberameaças, levantando o tema em discussão e esclarecimento dos participantes. Através de análises preditivas e comportamentais, a UEBA investiga continuamente os dados de várias fontes, mantendo um histórico preciso das atividades de cada usuário para identificar incidentes anômalos aos perfis e comportamentos padrões tanto de usuários como de entidades, como hosts, aplicativos, repositórios de tráfego de rede e de dados.

Apenas o monitoramento das atividades nos acessos dos usuários ou um simples sistema de alerta de incidentes (SIEM) podem não eliminar as brechas para uma invasão ou furto de dados. Wellington Lobo, gerente de canais Brasil da Forcepoint, explica que, “Enquanto a maioria das empresas se preocupa em investir cada vez mais em sistemas de defesa para impedir as entradas de ataques e violações, a contenção também que ser vista como prioridade para eliminar ao máximo os pontos de riscos. UEBA é uma tecnologia sofisticada e mais minuciosa que permite monitorar o perfil de comportamento dos usuários e respectivos desvios, detectar atividades incomuns, uso indevido de acessos privilegiados, manipulação de dados de alto risco ou até mesmo auxiliar na identificação de ameaças persistentes avançadas, sem acrescentar carga operacional e analítica à TI”.

De acordo com o executivo, o crescente interesse por UEBA requer a avaliação sob dois pontos de vista: de Gestão de Risco, em que o monitoramento dos usuários detecta atividades proibidas ou não autorizadas por pessoas de confiança; e das Operações de Segurança, em que há ganho de visibilidade nos casos de uso orientados à detecção de ameaças, como de contas comprometidas por hackers externos, ameaças internas, tentativas de exfiltração de dados, monitoramento das ações virtuais de funcionários, inclusive para a gestão de acessos e identidades (IAM) e na segurança de acesso na nuvem (CASB).

Aliar UEBA a uma solução com inteligência nas análises comportamentais, como disponibiliza a Forcepoint, permite determinar as não conformidades de comportamento de acordo com os processos de negócios e ainda a aplicação de ações concretas para outras medidas, como no caso de enforcement nas políticas de risco, em que monitora o cumprimento das regras predefinidas e registra a responsabilidade nas ocorrências maliciosas para embasamento legal.

“Não existe um sistema que garanta 100% de segurança. Mas temos que fechar todas as brechas possíveis e atingir o máximo de camadas para chegar perto deste nível. Trabalhar com a defesa e mais na contenção através das análises preditivas e comportamentais é o que realmente permite a obtenção de uma consciência situacional direcionada às estratégias de cibersegurança, com melhores tomadas de decisão e mitigação dos riscos”, avalia Lobo.

 

Forcepoint Insider Threat

Base do Forcepoint Insider Threat, solução da Forcepoint para a proteção contra ameaças internas, a UEBA permite monitorar a localização dos dados e seu movimento, assim como as ações do usuário que os acessa, alterando e transportando dados. Isso inclui não somente funções que afetam diretamente os dados, mas denunciam ações anteriores que indicam o aparecimento de uma brecha de segurança.

O sistema pode criar impressões digitais de documentos mais sensíveis como os de proteção de propriedade intelectual, permitindo rastrear os ativos mais valiosos. Os dados de usuários coletados podem ser visualizados como um replay de vídeo que mostra as teclas usadas, movimentos de mouse, documentos abertos ou websites visitados. Esta capacidade única provê evidências irrefutáveis sobre atividades do usuário, incluindo as ações offline ou em mobilidade.

“Hoje, UEBA é a tecnologia mais poderosa contra insiders, uma vez que traça o histórico do comportamento dos usuários e aplica seus recursos de aprendizagem para estabeler o comportamento normal de cada um para colocar em visualização de risco qualquer atividade fora do padrão. Essa poderosa tecnologia, aliada à experiência da Forcepoint em proteger mais de 1 milhão de usuários, tanto de agências governamentais como das maiores empresas do mundo, capacita nossa solução a auferir a melhor auditoria de comportamento do mercado”, afirma William Rodrigues, Sr Sales Engineer da Forcepoint.

 

Sobre a Forcepoint

Forcepoint está transformando a cibersegurança ao focar no que mais importa: entender a intenção das pessoas ao interagir com os dados críticos onde quer que eles residam. Nossos sistemas robustos permitem às empresas capacitar os funcionários com livre acesso aos dados confidenciais, protegendo ao mesmo tempo a propriedade intelectual e simplificando a conformidade. Baseada em Austin, Texas, Forcepoint suporta mais de 20.000 organizações em todo o mundo. Para mais informações sobre Forcepoint, visite www.forcepoint.com e siga-nos no Twitter em @ForcepointSec.

 

Junte-se à Forcepoint nas redes sociais

Facebook: https://www.facebook.com/ForcepointLLC

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec

Instagram: https://www.instagram.com/forcepoint

Comentários
As opiniões dos artigos/colunistas aqui publicados refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nessa publicação.

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.