O que a análise de comportamento do usuário revela para a segurança

Por Waldo Gomes

Os ataques cibernéticos continuam evoluindo em conjunto com a tecnologia, desfiando o sistema de segurança corporativa. A cada dia são criadas milhares de novas ameaças e as tradicionais soluções, embora necessárias, não são suficientes para barrar todas elas. Esse desenvolvimento na forma de ataque requer mais inteligência no processo de detecção, prevenção e análise.

Diante desse cenário, a análise do comportamento do usuário, conforme definida pelo Gartner, é um processo de segurança cibernética sobre a detecção de ameaças internas, ataques direcionados e fraudes financeiras, que se tornou fundamental para os times de segurança das empresas.

Diariamente, as equipes especializadas em segurança recebem centenas de milhares de alertas disparados por diversas soluções que visam a proteção dos sistemas. Essas incidências iniciais podem – ou não – serem ataques reais. Mas avaliar cada um desses alertas e identificar aqueles que merecem alguma ação corretiva é uma tarefa manualmente impossível.

Para combater às ameaças cada vez mais sofisticadas, um novo conceito foi desenvolvido e tem sido explorado em todo o mercado de segurança da informação: UEBA (User and Entity Behavior Analytics), que traduzido significa ‘análise de comportamento de usuários e entidades’.

O UEBA consiste em combinar a inteligência artificial e o machine learning para uma análise minuciosa de todas atividades com base no comportamento dos usuários. Com isso, ajuda a identificar quais situações podem ser consideradas normais e quais são suspeitas para cada companhia. Nesse filtro de milhares de eventos em tempo real, é possível chegar a um número muito menor de ameaças reais, direcionando as equipes de segurança e concentrando seus esforços aos ataques verídicos.

Isso significa que, basicamente, se um usuário enviar muitas informações para a nuvem usando um aplicativo de compartilhamento de arquivos não autorizado e utilizado pela empresa, essa operação trará um indício de problema na segurança e será realizada uma análise mais detalhada.

Seguindo o mesmo raciocínio, se usuário tentar enviar dados confidenciais por e-mail a um destinatário fora da rede corporativa ou quando um login é feito durante a madrugada, de um lugar atípico, seguido por uso indevido do sistema, todas essas atividades serão consideradas suspeitas.

Quando essas ações ocorrem simultaneamente, não podem ser identificadas como suspeitas por uma solução tradicional mas, quando combinadas, são avaliadas como comportamentos que podem apontar o roubo de credenciais, os quais também podem ter como objetivo o roubo de propriedade intelectual de uma organização.

Por isso, a análise de comportamento tem como premissa comparar as atividades realizadas de acordo com o padrão de cada usuário com o perfil do restante da equipe e todos os funcionários de uma empresa.

Caso alguma ação não seja adequada com a função do usuário ou não corresponda ao padrão de comportamento de determinada organização, a ferramenta sinaliza o comportamento como suspeito, baseado em riscos, para priorizar eventos que são considerados de valor e possuem uma gravidade, de maneira totalmente independente dos administradores por meio de inteligência artificial.

A partir desta solução, é possível ter um ambiente mais seguro com alertas precisos baseados no comportamento de cada membro da empresa, para que as ameaças sejam contidas.

Waldo Gomes é diretor de marketing e relacionamento da NetSafe Corp