Seguranca da Informacao

Segurança da Informação x comportamento do usuário: como agir?

Enquanto as ferramentas de segurança tenham evoluído com o uso de Inteligência Artificial e outras tecnologias de última geração, seu princípio de funcionamento permanece o mesmo. Mas, como fica a segurança da informação no contexto de comportamento do usuário?

Os firewalls, por exemplo, analisam o conteúdo de pacotes e outros metadados, como endereços IP, para detectar e impedir que invasores consigam entrar no sistema. E o software antivírus está constantemente examinando os sistemas de arquivos em busca de malware. Assim, procurando por bits de código e outros sinais de que um arquivo está infectado.

Ao contrário de firewalls e software antivírus, a Segurança da Informação (SI) baseada no comportamento do usuário, ou User Behavior Analytics (UBA), se concentra no que o usuário está fazendo: aplicativos iniciados, atividade de rede e, arquivos mais críticos acessados ​​(quando o arquivo ou e-mail foi alterado, quem o modificou, o que foi feito com e com que frequência).

O que é a segurança da informação baseada no comportamento do usuário?

A tecnologia UBA procura padrões de uso que indiquem comportamentos incomuns ou anômalos — independentemente de as atividades serem provenientes de hackers, usuários internos, malware ou outros processos. Embora o UBA não impeça que hackers entrem no seu sistema, ele pode identificar rapidamente o trabalho deles e minimizar os danos.

Sim, o UBA é a próxima etapa do SIEM, Security Information and Event Manager, ou Gerenciamento e Correlação de Eventos de Segurança). O SIEM tradicionalmente se concentra na análise de eventos capturados em firewalls, sistemas operacionais e outros logs do sistema, a fim de identificar correlações interessantes, geralmente por meio de regras predefinidas.

Por exemplo, vários eventos de falha de login em um log podem ser um sinal de hackers entrando no sistema. O SIEM, então, reconhece isso e alerta sobre a invasão.

Como veremos, em breve, ao se concentrar nos sistemas de perímetro e nos logs do sistema operacional em vez dos dados em si, é fácil perder os usuários que abusam do acesso, bem como a atividade dos hackers. Ou seja, porque eles se tornaram muito bons em se parecer como usuários comuns quando estão dentro da rede.

Segurança da Informação baseada no comportamento do usuário

É aí que entra a segurança da informação baseada no comportamento do usuário. Ao focar menos em eventos do sistema e mais em atividades específicas do usuário, o UBA pode aprender padrões de usuários legítimos e se concentrar nos hackers quando seus comportamentos diferem desses.

Para aqueles que desejam uma definição mais tradicional da segurança da informação baseada no comportamento do usuário, a empresa de pesquisa Gartner apresentou o seguinte:

“No User Behavior Analytics, a análise é focada em usuários, contas de usuário, identidades de usuário — e não em, digamos, endereços IP ou hosts. (…) Essas ferramentas podem coletar logs e dados de contexto em si ou de um SIEM e utilizar vários algoritmos analíticos para criar novos insights a partir desses dados”.

Como o User Behavior Analytics funciona?

O User Behavior Analytics permite determinar com mais facilidade uma ameaça em potencial. Além disso, é uma parte externa que finge ser um funcionário ou um funcionário real que apresenta algum tipo de risco, seja por negligência ou malícia.

O UBA conecta a atividade na rede a um usuário específico em oposição a um endereço IP ou um ativo. Isso significa que, se um usuário começar a se comportar de uma maneira incomum ou improvável, mesmo que não seja sinalizado pelas ferramentas tradicionais de monitoramento de perímetro, você poderá identificar o comportamento rapidamente, determinar se é anômalo e iniciar uma investigação.

Por exemplo, credenciais roubadas são um vetor de ataque comum usado por cibercriminosos. Quer o criminoso obtenha credenciais através de ataques de phishing, malware, chaves de registro ou até mesmo violação de dados de terceiros, tudo o que eles precisam é de uma combinação correta de nome de usuário e senha para ter sucesso. Assim, depois que eles conseguem fazer login, eles podem se mover silenciosamente em uma rede sem ser detectados.

No entanto, quando um invasor entra, ele, geralmente, começa a agir de maneira diferente de um usuário normal. O invasor avança de um passo a outro. Estrategicamente, procurando alvos cada vez mais interessantes para invadir e dados para exfiltrar.

A capacidade de definir qual tipo de comportamento do usuário é normal em uma rede é crítica. A segurança da informação baseada no comportamento do usuário fornece os dados para identificar facilmente tendências, para que você possa investigar com mais facilidade e rapidez as ameaças potenciais e interromper a cadeia de ataques.

Quais os benefícios do User Behavior Analytics?

Infelizmente, as ferramentas de segurança da informação de hoje estão se tornando obsoletas rapidamente. Assim, agora, hackers mais habilidosos são capazes de contornar as defesas de perímetro usadas pela maioria das empresas.

A grande verdade? Medidas preventivas não são mais suficientes. Seus firewalls não serão 100% infalíveis, hackers e invasores entrarão no seu sistema em um ponto ou outro. É por isso que a detecção é igualmente importante: quando os hackers conseguem entrar no seu sistema com sucesso, você deve poder detectar rapidamente a presença deles para minimizar os danos.

A importância do UBA

Como tal, o UBA é um componente muito importante da segurança da informação, permitindo que você:

  1. Detecte ameaças internas: não é exagero imaginar que um funcionário, ou talvez um grupo de funcionários, possa ser desonesto, roubando dados e informações usando seu próprio acesso. O UBA pode ajudá-lo a detectar violações de dados, sabotagem, abuso de privilégios e violações de política feitas por sua própria equipe;
  2. Detecte contas comprometidas: às vezes, as contas de usuário são comprometidas. Pode ser que o usuário tenha instalado malware inconscientemente em sua máquina ou, às vezes, uma conta legítima seja falsificada. O UBA pode ajudá-lo a eliminar usuários falsificados e comprometidos antes que eles possam causar danos reais;
  3. Detecte ataques de força bruta: em alguns casos, os hackers têm como alvo seus sistemas baseados na nuvem e sistemas de autenticação de terceiros. Com o UBA, você é capaz de detectar tentativas de força bruta, permitindo bloquear o acesso a esses sistemas;
  4. Detecte alterações nas permissões e criação de admins: alguns ataques envolvem o uso de admins. O UBA permite detectar quando admins são criados ou se existem contas às quais foram concedidas permissões desnecessárias;
  5. Detecte a violação de dados protegidos: se você possui dados protegidos, não basta apenas mantê-los seguros. Você deve saber se um usuário acessou esses dados sem ter nenhum motivo legítimo para acessá-los.

Implementação do User Behavior Analytic é essencial

A implementação do User Behavior Analytics é imprescindível para qualquer organização garantir a segurança da informação. O UBA cresceu exponencialmente, nos últimos anos, com a expansão da Internet das Coisas (IoT) e mais dispositivos que poderiam potencialmente tirar proveito das vulnerabilidades da rede. Esteja você tentando localizar ameaças internas suspeitas ou monitorando contas privilegiadas, ele fornece uma linha de segurança atualizada para a infraestrutura de TI contra ataques intrusivos.

Agora que você aprendeu mais sobre a segurança da informação baseada no comportamento do usuário, aproveite e leia também nosso post sobre a gestão inteligente de dados e veja como fazê-la de forma efetiva!

Endpoint

Segurança de Endpoint: entenda a vantagem preditiva do Cylance

Não pode ler agora? Ouça o artigo clicando no player:

As ameaças cibernéticas de hoje têm como alvo todos os computadores e dispositivos móveis. Isso inclui endpoints corporativos, especialmente, aqueles que compõem a infraestrutura crítica. Por exemplo, sistemas de controle industrial e dispositivos incorporados. Apesar de um cenário de ameaças altamente sofisticado e automatizado, a segurança de endpoint ainda luta para adotar medidas proativas.

O BlackBerry Cylance, no entanto, adota uma abordagem inovadora do uso de análises de ameaças em tempo real com aprendizado de máquina (Machine Learning — ML) para resolver esse problema. Além disso, utiliza Inteligência Artificial (IA) para fornecer soluções que mudam a maneira como organizações e usuários finais abordam a segurança de endpoint.

Assim, as soluções de segurança Cylance combinam prevenção preditiva orientada por IA com detecção e resposta dinâmicas às ameaças para oferecer visibilidade total à empresa.

Abaixo descrevemos como a ferramenta funciona e quais as vantagens que ela oferece em relação às medidas de proteção tradicionais! Acompanhe:

Segurança de endpoint: AV tradicional vs. BlackBerry Cylance

Os produtos antivírus tradicionais (AV), que detectam ameaças por meio de assinaturas, reivindicam a maior parte do mercado de segurança há anos. No entanto, com o passar das décadas, as habilidades dos invasores de inventar técnicas, táticas e procedimentos melhoraram exponencialmente.

Agora, os invasores administram seus próprios laboratórios de controle de qualidade, usam ferramentas de penetração comercial e validam suas novas amostras de malware para não serem detectados. Em outras palavras, eles modificam o código e testam até que passem pelos produtos AV tradicionais.

Ameaças como malware sem arquivo, que não grava nada no disco, não podem ser capturadas por assinaturas. Portanto, o antivírus tradicional está se tornando cada vez menos eficaz. Dessa forma, precisamos de novas formas de impedir a execução de códigos maliciosos — sejam binários, sem arquivos, baseados em scripts ou qualquer outra coisa que esteja surgindo no horizonte. É aí que entra o BlackBerry Cylance.

Combate efetivo

Sem o uso de assinaturas ou a necessidade de transmitir dados para a nuvem, o CylancePROTECT combate ameaças comuns de segurança de endpoint. Por exemplo:

  • malware;
  • ransomware;
  • malware sem arquivo;
  • scripts maliciosos;
  • documentos com armas;
  • e muitos outros vetores de ataque, não importa onde o terminal esteja.

Assim, com eficácia incomparável, facilidade de uso e impacto mínimo no sistema, o CylancePROTECT é a melhor maneira de evitar problemas conhecidos. Além disso,  ataques desconhecidos antes que eles possam ser executados.

Dessa forma, aumentando a prevenção do CylancePROTECT, o CylanceOPTICS ™ é um componente de segurança de endpoint, que permite fácil análise de causa raiz. Ao mesmo tempo, busca de ameaças e detecção e resposta automatizadas de ameaças.

Automatização de tarefas de detecção e resposta às ameaças

Ao contrário de outros produtos de segurança de endpoint, que exigem que as organizações façam um investimento significativo em infraestrutura local e/ou transmitam dados para a nuvem continuamente e empreguem recursos de segurança altamente qualificados, o CylanceOPTICS foi projetado para automatizar tarefas de detecção e resposta às ameaças usando os recursos existentes.

Os serviços do BlackBerry Cylance fornecem testes de penetração e vulnerabilidade pré-ataque, avaliações de comprometimento e contenção de incidentes pós-ataque usando a tecnologia orientada por IA.

Essa poderosa combinação de serviços preditivos de prevenção, detecção, resposta e especialistas em ameaças permite que o BlackBerry Cylance proteja endpoints sem exigir que os clientes aumentem a carga de trabalho ou os custos da equipe.

Análise preditiva com a rede neural do BlackBerry Cylance

O BlackBerry Cylance usa uma abordagem fundamentalmente diferente do AV tradicional que aproveita a Inteligência Artificial e o aprendizado de máquina para impedir a execução de códigos maliciosos. Em vez de um processo simples, direto e baseado em etapas, o algoritmo do Cylance usa uma rede neural profunda, um sistema ramificado complexo que se alimenta de si mesmo e aprende com o passado para inferir o futuro.

O Cylance estuda diariamente milhões de arquivos em relações a padrões usados para treinar modelos de aprendizado de máquina. Exemplos simples desses padrões incluem o tamanho do arquivo, o uso de certificados (que geralmente são legítimos, mas podem ser roubados), se o arquivo está usando um empacotador e a complexidade ou entropia do arquivo.

Rede neural

Mas, ao invés de analisar cinco ou dez padrões para tomar uma decisão sobre se um arquivo é bom ou ruim, o algoritmo do Cylance analisa 1,4 milhão.

Cada um desses padrões pode ser representado como uma camada em sua rede de aprendizado profundo. A presença ou ausência (e o peso) de um padrão determina o caminho através das camadas para chegar a uma decisão.

A rede neural do Cylance é uma estrutura profunda e ramificada que gera uma pontuação de confiança. Quanto maior a pontuação de confiança, mais seguro o software está de que uma amostra é maliciosa — mesmo que nunca a tenha visto antes.

Para fazer engenharia reversa de uma detecção do BlackBerry Cylance, o invasor teria que voltar com sucesso por uma rede emaranhada de recursos de processamento de endpoints — uma façanha tão impossível quanto tentar resolver um labirinto com vários milhões de linhas fazendo curvas completamente aleatórias.

Como o BlackBerry Cylance usa o aprendizado de máquina

Ao contrário de outros fornecedores que adicionaram aprendizado de máquina ao número de métodos usados para identificar malware (assinaturas, comportamentos, sandboxes etc.), o BlackBerry Cylance usa a tecnologia exclusivamente para segurança de endpoint, com prevenção de ameaças de malware.

O algoritmo do Cylance foi treinado para tomar essas decisões em milissegundos, localmente em cada endpoint. Isso permite que as organizações eliminem as tarefas demoradas e que consomem muitos recursos associadas à manutenção de soluções baseadas em assinaturas.

O BlackBerry Cylance oferece inúmeras vantagens para os clientes que buscam prevenção de malware altamente precisa, proteção abrangente contra ataques e recursos robustos de segurança de endpoint, todos gerenciados por um único console de gerenciamento.

Além disso, podemos citar as seguintes vantagens para a segurança de endpoint:

Eficácia

  • Impede consistentemente a execução de malwares anteriormente; desconhecidos, conhecidos ou personalizados, sem a necessidade de assinaturas;
  • Impede a execução de scripts não autorizados;
  • Oferece precisão superior na prevenção de malware, seja online ou off-line;
  • Aproveita uma combinação de regras comportamentais e modelos de ML baseados em IA para detecção de ameaças de endpoint.

Simplicidade

  • Substitui ou, se necessário, aumenta as soluções antimalware existentes (o aumento é recomendado apenas para propósitos temporários / de transição para o valor máximo da solução).
  • Simples de implantar globalmente usando GPO, script de login ou pacotes de gerenciamento de software de terceiros.
  • Automação de ações de resposta a ameaças comportamentais sem intervenção humana.
  • As atualizações são fáceis e pouco frequentes.

Desempenho

  • Retorna o desempenho à Infraestrutura de Desktop Virtual (VDI), fornecendo uma solução antimalware mais completa, em comparação com a verificação apenas de malware no nível do hipervisor;
  • Consultas de indicadores de ataque em toda a empresa retornadas em segundos;
  • Reduz o uso da largura de banda da rede, eliminando os desafios de distribuição de arquivos DAT da solução legada;
  • Não perturba o meio ambiente. Nenhuma reinicialização é necessária em estações de trabalho ou servidores;
  • Experiência aprimorada do usuário final. Elimina a necessidade de verificações regulares no disco rígido;
  • Reduz o uso agregado de CPU e memória.

O BlackBerry Cylance desenvolve Inteligência Artificial para fornecer produtos de segurança preditiva e preventiva e soluções inteligentes, simples e seguras que mudam a maneira como as organizações abordam a segurança dos terminais.

Agora que você aprendeu a vantagem preditiva do Cylance, aproveite e entenda mais sobre os benefícios que a automação de segurança traz para a sua empresa!