A análise de comportamento de usuários e entidades, ou UEBA, é um tipo de software de segurança que usa análise de dados comportamentais, algoritmos de aprendizado de máquina e automação para identificar comportamentos anormais e potencialmente perigosos de usuários e dispositivos. A UEBA é particularmente eficaz na identificação de ameaças internas (agentes internos maliciosos ou hackers que usam credenciais comprometidas de agentes internos) que podem enganar outras ferramentas de segurança por conseguir imitar o tráfego de rede autorizado.

UEBA, termo cunhado pela primeira vez por Gartner em 2015, é uma evolução da análise de comportamento do usuário (UBA). Enquanto a UBA rastreia apenas padrões de comportamento do usuário final, a UEBA também monitora entidades não usuárias, como servidores, roteadores e dispositivos IoT (internet das coisas), em busca de comportamentos anômalos ou atividades suspeitas que possam indicar ameaças ou ataques à segurança.

A UEBA é usada em centros de operações de segurança (SOCs) juntamente com outras ferramentas de segurança empresarial, e a funcionalidade da UEBA é frequentemente incluída em soluções de segurança empresarial, como gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta estendidas (XDR) e gerenciamento de acesso e identidade (IAM).

As soluções UEBA fornecem insights de segurança por meio de análise de dados e aprendizado de máquina. As ferramentas de análise de comportamento dentro do sistema UEBA incorporam e analisam grandes volumes de dados de múltiplas fontes para criar uma imagem básica de como usuários e entidades privilegiadas normalmente funcionam. Em seguida, elas usam aprendizado de máquina para refinar essa linha de base. Conforme o ML aprende com o tempo, a solução UEBA precisa coletar e analisar menos amostras de comportamento normal para criar uma linha de base precisa.

Depois de modelar os comportamentos de linha de base, a UEBA aplica a mesma análise avançada de dados e os mesmos recursos de aprendizado de máquina aos dados atuais de atividades de usuários e entidades para identificar desvios suspeitos da linha de base em tempo real. A UEBA avalia o comportamento de usuários e entidades ao analisar dados da maior quantidade possível de fontes empresariais — quanto mais, melhor. Essas fontes normalmente incluem:

• Equipamentos de rede e soluções de acesso à rede, como firewalls, roteadores, VPNs e soluções IAM.
   

• Ferramentas e soluções de segurança, como softwares de antivírus/antimalware , EDR, sistemas de prevenção e detecção de intrusões (IDPS) e SIEM.
   

• Bancos de dados de autenticação, como o Active Directory, que contêm informações críticas sobre um ambiente de rede, as contas de usuários e computadores ativos no sistema e as atividades de usuários permitidas.
   

• Feeds e frameworks de inteligência de ameaças, como o MITRE ATT&CK, que fornecem informações sobre ameaças e vulnerabilidades cibernéticas comuns, incluindo ataques de dia zero, malwares, botnets e outros riscos de segurança.
   

• Sistemas de planejamento de recursos empresariais (ERP) ou de recursos humanos (RH) que contêm informações importantes sobre usuários que podem representar uma ameaça, como funcionários que deram aviso prévio ou que podem estar insatisfeitos.

A UEBA utiliza o que aprende para identificar comportamentos anômalos e classificá-los com base no risco que representam. Por exemplo, várias tentativas falhas de autenticação num curto espaço de tempo ou padrões anormais de acesso ao sistema podem indicar uma ameaça interna que criaria um alerta de classificação baixa. Da mesma forma, um usuário conectando várias unidades USB e realizando padrões de download anormais pode indicar um vazamento de dados que receberia uma classificação de risco mais alta.

O uso dessa métrica de classificação ajuda as equipes de segurança a evitar falsos positivos e a priorizar as ameaças maiores, ao mesmo tempo em que documenta e monitora alertas de baixo nível ao longo do tempo que, em combinação, podem indicar uma ameaça lenta, porém séria.

A UEBA ajuda as empresas a identificar comportamentos suspeitos e fortalece os esforços de data loss prevention (DLP). Além desses usos táticos, a UEBA também pode atender a objetivos mais estratégicos, tais como demonstrar a conformidade com regulamentos em relação aos dados do usuário e à proteção de privacidade.

Casos de uso tático

Agentes internos maliciosos – São pessoas com acesso autorizado e até privilegiado à rede corporativa que tentam realizar um ataque cibernético. Os dados por si só, como arquivos de log ou registros de eventos, nem sempre conseguem identificar essas pessoas, mas a análise avançada de dados consegue. Como a UEBA fornece insights sobre usuários específicos, ao contrário de fornecer apenas o endereço IP, ela pode identificar usuários individuais que estejam violando políticas de segurança.

Agentes internos comprometidos – Esses invasores ganham acesso às credenciais de usuários ou dispositivos autorizados por meio de esquemas de phishing, ataques de força bruta ou outros meios. As ferramentas de segurança típicas podem não encontrá-los já que o uso de credenciais legítimas, embora roubadas, faz com que o invasor pareça ser autorizado. Uma vez dentro, esses invasores realizam movimentos laterais, movimentando-se pela rede e conseguindo novas credenciais para escalar seus privilégios e alcançar ativos mais confidenciais. Embora esses invasores possam estar usando credenciais legítimas, a UEBA pode detectar seu comportamento anômalo e ajudar a impedir o ataque.

Entidades comprometidas – Muitas organizações, especialmente fabricantes e hospitais, utilizam um número significativo de dispositivos conectados, como dispositivos IoT, muitas vezes com pouca ou nenhuma configuração de segurança. A falta de proteção torna essas entidades um alvo prioritário para hackers, que podem sequestrar esses dispositivos para acessar fontes de dados confidenciais, interromper operações ou organizar ataques DDoS (distributed denial-of-service). A UEBA pode identificar comportamentos que indicam que essas entidades foram comprometidas, ajudando a lidar com essas ameaças antes que escalem.

Vazamento de dados – Ameaças internas e agentes mal-intencionados muitas vezes procuram roubar dados pessoais, propriedade intelectual ou documentos de estratégia de negócios de servidores, computadores ou outros dispositivos comprometidos. A UEBA ajuda as equipes de segurança a detectar violações de dados em tempo real, alertando as equipes sobre padrões incomuns de download e acesso a dados.

Casos de uso estratégico

Implementando segurança zero trust – Uma abordagem de segurança zero trust é aquela que nunca confia e continuamente verifica todos os usuários ou entidades, estejam eles fora ou dentro da rede. Especificamente, a abordagem zero trust exige que todos os usuários e entidades sejam autenticados, autorizados e validados antes de receberem acesso a aplicativos e dados, e posteriormente sejam continuamente reautenticados, reautorizados e revalidados para manter ou ampliar esse acesso durante toda a sessão.

Uma arquitetura zero trust eficaz requer visibilidade máxima de todos os usuários, dispositivos, ativos e entidades na rede. A UEBA oferece aos analistas de segurança uma visibilidade rica e em tempo real de todas as atividades de usuários finais e entidades, incluindo a identificação de quais dispositivos estão tentando se conectar à rede, quais usuários estão tentando exceder seus privilégios e muito mais.

Conformidade com o GDPR – O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia impõe requisitos rigorosos às organizações para proteger dados confidenciais. De acordo com o GDPR, as empresas devem rastrear quais dados pessoais são acessados, por quem, como são usados e quando são excluídos. As ferramentas da UEBA ajudam as empresas a cumprir o GDRP monitorando o comportamento de usuários e os dados confidenciais que eles acessam.

A UEBA, ou recursos do tipo UEBA, estão incluídos em muitas ferramentas de segurança disponíveis atualmente. Embora possa ser utilizada como um produto independente, a UEBA deve ser vista como uma ferramenta na abrangente caixa de ferramentas de cibersegurança. Em particular, a UEBA é frequentemente usada em conjunto ou integrada nas seguintes ferramentas:

Gerenciamento de informações e eventos de segurança (SIEM) – Os sistemas SIEM agregam dados de eventos de segurança de ferramentas díspares de segurança interna em um único log e analisam esses dados para detectar comportamentos incomuns e ameaças em potencial. A UEBA pode expandir a visibilidade do SIEM na rede por meio de seus recursos de detecção de ameaças internas e análises de dados de comportamento do usuário. Hoje, muitas soluções SIEM incluem UEBA.

Detecção e resposta de endpoint (EDR) – As ferramentas EDR monitoram os endpoints do sistema, como notebooks, impressoras e dispositivos IoT, em busca de sinais de comportamento incomum que possam indicar uma ameaça. Quando ameaças são detectadas, o EDR automaticamente as contém. A UEBA complementa, e muitas vezes é parte de, uma solução EDR ao monitorar o comportamento dos usuários nesses endpoints. Por exemplo, um login suspeito pode ativar um alerta de baixo nível para o EDR, mas se a UEBA descobrir que o endpoint está sendo usado para acessar informações confidenciais, o alerta pode subir de nível de forma adequada para ser resolvido com mais rapidez.

Gerenciamento de acesso e identidade (IAM) – As ferramentas de gerenciamento de acesso e identidade garantem que as pessoas e os dispositivos certos possam usar os aplicativos e dados certos quando necessário. O IAM é proativo e busca impedir o acesso não autorizado, ao mesmo tempo, busca também facilitar o acesso autorizado. A UEBA adiciona outra camada de proteção ao monitorar os sinais de credenciais comprometidas ou o abuso de privilégios por usuários autorizados.