UBA significa User Behavior Analytics<\/em> (An\u00e1lise de Comportamento do Utilizador) e \u00e9 uma tecnologia de an\u00e1lise de detec\u00e7\u00e3o de amea\u00e7as. A UBA usa Intelig\u00eancia Artificial (IA) e ci\u00eancia de dados para entender como os utilizadores normalmente se comportam e, em seguida, encontrar actividades an\u00f3malas, que se desviam de seu comportamento normal e podem ser indicativas de uma amea\u00e7a.<\/p>\n Como funciona:<\/strong><\/p>\n A UBA procura entender o comportamento normal de todos os utilizadores num ambiente e cria uma linha de base para esse comportamento. Como isso acontece? Isso acontece ao usar ci\u00eancia de dados para construir um modelo comportamental para cada atributo de um utilizador que interage com um ambiente de TI.<\/p>\n Digamos que queremos modelar o uso de VPN do utilizador Edson. Poder\u00edamos come\u00e7ar por localizar v\u00e1rios atributos de seu uso de VPN, incluindo coisas como os hor\u00e1rios de in\u00edcio e fim, das suas sess\u00f5es VPN, os endere\u00e7os IP de onde ele se conecta, de qual pa\u00eds ele se conecta, etc. Para cada um desses atributos, podemos construir um modelo simplesmente registando o seu uso e analisando-o com a ci\u00eancia de dados.<\/p>\n Vamos assumir que estejamos a construir um modelo para os pa\u00edses de onde as VPNs de Edson se encontram. Cada vez que ele se conecta, tra\u00e7amos um ponto de dados.<\/p>\n Assim que tivermos dados suficientes, a ci\u00eancia de dados pode ser usada para identificar tend\u00eancias no seu uso de VPN e entender o que \u00e9 uma actividade normal para ele. Conceptualmente falando, esses dados podem ser usados para criar um gr\u00e1fico como o seguinte:<\/p>\n Acessos VPN do utilizador “Edson”<\/em><\/strong><\/p>\n Uma vez que uma linha de base para a actividade normal tenha sido estabelecida, a UBA pode identificar facilmente a actividade anormal. Ao olhar novamente para o gr\u00e1fico acima, a linha laranja \u00e9 representativa do seu limite comportamental; fazer o uso da VPN de Angola, Portugal ou Africa do Sul seria normal para o Edson, no entanto, qualquer coisa abaixo desse limite seria anormal. Neste exemplo, o Brasil est\u00e1 no limite, mas \u00e9 normal para ele. Qualquer conex\u00e3o VPN de um pa\u00eds do qual o Edson se conecte com menos frequ\u00eancia do que o Brasil seria an\u00f3mala e acrescentaria pontos de risco.<\/p>\n Pontua\u00e7\u00e3o de risco reduz falsos positivos<\/strong><\/p>\n Outro conceito central comum \u00e0s solu\u00e7\u00f5es UBA \u00e9 o uso de pontua\u00e7\u00f5es de risco em oposi\u00e7\u00e3o a alertas de seguran\u00e7a individuais. Na UBA, uma \u00fanica anormalidade n\u00e3o \u00e9 suficiente para que um incidente seja encaminhado aos analistas para revis\u00e3o. Cada anormalidade comportamental descoberta adiciona risco ao utilizador. Uma vez que o utilizador tenha pontos de risco suficientes em um per\u00edodo espec\u00edfico de tempo, esse utilizador \u00e9 considerado not\u00e1vel ou de alto risco. Essa abordagem reduz os falsos positivos porque v\u00e1rias anormalidades devem ocorrer antes que um analista seja alertado.<\/p>\n O que \u00e9 UEBA?<\/strong><\/p>\n UEBA \u00e9 exactamente o que parece: UBA com um \u201cE\u201d no meio deste. Esse \u201cE\u201d significa Entities (Entidades), que forma a nova sigla User and Entity Behavior Analytics (An\u00e1lise de Comportamento de Utilizador e Entidade]. O que isso realmente significa \u00e9 que a UEBA \u00e9 capaz de modelar o comportamento de utilizadores e tamb\u00e9m das m\u00e1quinas dentro da rede. Ao olharmos globalmente, isto significa que todo ambiente de TI \u00e9 uma rede interconectada de utilizadores e m\u00e1quinas, onde a UEBA pode identificar o comportamento normal e anormal para ambos os grupos fornecendo uma visibilidade completa.<\/p>\n Descobrindo m\u00e1quinas com mau comportamento<\/strong><\/p>\n A UEBA actua analisando a primeira vez que uma m\u00e1quina executa um processo anormal ou um processo conhecido em execu\u00e7\u00e3o num local incomum.<\/p>\n Vejamos um exemplo do mundo real que descobrimos numa grande empresa de tecnologia com sede nos Estados Unidos. O incidente de seguran\u00e7a que eles vivenciaram envolveu um servidor de Linux que foi comprometido e controlado por hackers. Os hackers estavam basicamente a usar essa m\u00e1quina como um ponto de partida para pesquisar o resto da rede em busca de activos vulner\u00e1veis com a inten\u00e7\u00e3o de comprometer essas m\u00e1quinas. Os hackers verificaram a rede e os seus activos e, em seguida, tentaram fazer login em v\u00e1rios servidores usando as credenciais padr\u00e3o desses servidores.<\/p>\n Neste exemplo, havia muitas anormalidades comportamentais, mas todas estavam associadas a uma entidade: um endere\u00e7o IP espec\u00edfico. Sem a capacidade de rastrear e modelar o comportamento da entidade, esse ataque teria passado despercebido, porque o ataque tentou usar muitos utilizadores (as credenciais padr\u00e3o) em v\u00e1rios hosts. Se a an\u00e1lise comportamental estivesse a ser realizada apenas no n\u00edvel do utilizador, este ataque teria aparecido como v\u00e1rios utilizadores em sistemas diferentes a n\u00e3o conseguirem fazer login. O facto de ser a mesma entidade que efectuou os logins foi o que despoletou a sua defini\u00e7\u00e3o como ataque, e a capacidade de definir a linha de base e identificar o comportamento incomum da m\u00e1quina foi o que permitiu descobrir rapidamente a m\u00e1quina comprometida antes que mais danos pudessem ter sido causados.<\/p>\n O que \u00e9 um SIEM?<\/strong><\/p>\n SIEM significa Security Information and Event Management (Gest\u00e3o e Correla\u00e7\u00e3o de Eventos de Seguran\u00e7a). Uma solu\u00e7\u00e3o SIEM permite que os eventos gerados por diversas aplica\u00e7\u00f5es de seguran\u00e7a (tais como firewalls, proxies, sistemas de preven\u00e7\u00e3o a intrus\u00e3o (IPS) e antiv\u00edrus, entre outros, sejam colectados, normalizados, armazenados e correlacionados; o que possibilita uma r\u00e1pida identifica\u00e7\u00e3o e resposta aos incidentes.<\/p>\n A premissa original do SIEM era ajudar as equipas de seguran\u00e7a a recolher e armazenar dados de eventos e registos, bem como correlacionar esses dados de forma a se encontrarem amea\u00e7as. Eles tamb\u00e9m s\u00e3o usados para conformidade e relat\u00f3rios para empresas que devem aderir a regulamentos de conformidade como GDPR, PCI-DSS e outros.<\/p>\n As componentes da SIEM<\/strong><\/p>\n Se dissecarmos o nome, podemos ver que SIEM \u00e9 um am\u00e1lgama de duas outras tecnologias: Gest\u00e3o de Informa\u00e7\u00e3o de Seguran\u00e7a e Gest\u00e3o de Eventos de Seguran\u00e7a.<\/p>\n Em suma, a Gest\u00e3o de Informa\u00e7\u00e3o de Seguran\u00e7a (SIM: Security Information Management) consiste em reunir os dados num s\u00f3 lugar e geri-los com efici\u00eancia. O SIM inclui os componentes que fornecem a recolha de log centralizada, armazenamento de log, pesquisa de log e relat\u00f3rios que permitem casos de uso de conformidade.<\/p>\n A Gest\u00e3o de Eventos de Seguran\u00e7a (SEM: Security Event Management) \u00e9 um punhado de recursos que permitem a detec\u00e7\u00e3o de amea\u00e7as e user cases de gest\u00e3o de incidentes. S\u00e3o coisas como an\u00e1lise em tempo real e uso de regras de correlac\u00e7\u00e3o para detec\u00e7\u00e3o de incidentes. O SEM tamb\u00e9m inclui recursos operacionais e de resposta, como gest\u00e3o de incidente, que fornece a funcionalidade de opera\u00e7\u00e3o de ticketing e seguran\u00e7a.<\/p>\n Analogia da agulha num palheiro<\/strong><\/p>\n Muitas vezes as pessoas tentam explicar SIEMs usando a analogia \u201celes ajudam a encontrar agulhas no palheiro\u201d. Para ser mais preciso, se os logs de eventos fossem palha, os SIEMs seriam respons\u00e1veis por recolher essa palha (recolha e armazenamento de logs) e tamb\u00e9m por encontrar as agulhas nesse palheiro (detec\u00e7\u00e3o de amea\u00e7as em tempo real, detec\u00e7\u00e3o e resposta a incidentes, etc.). Embora esta seja uma \u00f3ptima analogia para explicar um SIEM, vale a pena referir que os SIEMs fazem um trabalho muito melhor em arrumar a palha num palheiro, do que encontrar agulhas nela. Normalmente, est\u00e3o associados ao SIEM, m\u00f3dulos adicionais, entre eles o UBA, que esses sim encontram a agulha.<\/p>\n Bonus: O que \u00e9 SOAR?<\/strong><\/p>\n A gest\u00e3o de seguran\u00e7a n\u00e3o se limita \u00e0 detec\u00e7\u00e3o de amea\u00e7as. Os analistas de seguran\u00e7a e as equipas de resposta a incidentes ainda precisam responder aos incidentes que descobriram e \u00e9 a\u00ed que entra o SOAR. Dependendo de quem voc\u00ea pergunta, o SOAR pode representar uma infinidade de coisas, mas duas das defini\u00e7\u00f5es mais comuns s\u00e3o:<\/p>\n Essa categoria de solu\u00e7\u00f5es tamb\u00e9m \u00e9 \u00e0s vezes chamada de:<\/p>\n N\u00e3o importa o que signifique, os produtos SOAR t\u00eam tudo a ver com o uso de automa\u00e7\u00e3o para ajudar a reduzir os tempos de resposta, melhorar a consist\u00eancia e ampliar a produtividade das equipas de resposta a incidentes. Tr\u00eas dos principais recursos que permitem esses ganhos de produtividade de resposta a incidentes s\u00e3o:<\/p>\n Por exemplo, pode-se ter um Play Book que executa as seguintes ac\u00e7\u00f5es em v\u00e1rios sistemas com um \u00fanico clique de bot\u00e3o:<\/p>\n <\/p>\n Conclus\u00e3o<\/strong><\/p>\n No actual paradigma da ciberseguran\u00e7a, torna-se essencial a implementa\u00e7\u00e3o de um Security Operations Center (SOC), munido das ferramentas que permitam ter visibilidade de todos os seus assets em tempo real.<\/p>\n \u00c9 assim poss\u00edvel uma an\u00e1lise e resposta a incidentes de seguran\u00e7a, com motores de an\u00e1lise baseados em intelig\u00eancia artificial, tais como UEBA, que contribuem para a diminui\u00e7\u00e3o de falsos positivos, bem como para o aumento da capacidade de detec\u00e7\u00e3o e resposta a incidentes.<\/p>\n Sendo especialistas nesta \u00e1rea, com experi\u00eancia na implementa\u00e7\u00e3o das melhores solu\u00e7\u00f5es de ciberseguran\u00e7a no nosso mercado, estamos dispon\u00edveis para disponibilizar solu\u00e7\u00f5es que d\u00e3o resposta \u00e0s necessidades supracitadas, adequadas ao contexto de cada ambiente corporativo.<\/p>\n","protected":false},"excerpt":{"rendered":" Este artigo procura definir e explicar alguns acr\u00f3nimos comuns envolvidos no cen\u00e1rio actual da ciberseguran\u00e7a. O que \u00e9 UBA? UBA significa User Behavior Analytics (An\u00e1lise de Comportamento do Utilizador) e \u00e9 uma tecnologia de an\u00e1lise de detec\u00e7\u00e3o de amea\u00e7as. A UBA usa Intelig\u00eancia Artificial (IA) e ci\u00eancia de dados para entender como os utilizadores normalmente […]<\/p>\n","protected":false},"author":3,"featured_media":2832,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false},"categories":[88],"tags":[69,81,82,72,73],"acf":[],"yoast_head":"\n![\"\"](\"https:\/\/newcognito.com\/wp-content\/uploads\/2022\/06\/Screenshot-2022-06-08-173833.png\")
<\/p>\n![\"\"](\"https:\/\/newcognito.com\/wp-content\/uploads\/2022\/06\/Screenshot-2022-06-08-173456.png\")
<\/p>\n![\"\"](\"https:\/\/newcognito.com\/wp-content\/uploads\/2022\/06\/Screenshot-2022-06-08-174350.png\")
<\/p>\n\n
\n
\n
\n