As ameaças internas são alguns dos fatores mais críticos nas estratégias de segurança de dados nas empresas. Elas podem ser ocasionadas tanto por contas sequestradas ou funcionários descontentes empenhados em sabotagem. Independentemente do caso, as ferramentas convencionais, orientadas por assinaturas, não são suficientes para reconhecer esse tipo de problema, visto que, na maioria dos casos, o ataque parte de usuários autenticados. Por isso, a análise comportamental do usuário é tão importante.

O  estudo Data Breach Investigations Report (DBIR) de 2021 da Verizon revelou que 85% das violações analisadas contaram com a participação de elemento humano e que 61% das violações envolveram dados de credenciais.

De fato, muitas empresas ainda pecam por focar todas as suas atenções contra ameaças externas. No entanto, para uma estratégia de segurança completa e assertiva, é preciso levar em conta os riscos internos. Colaboradores podem, por negligência ou premeditadamente, comprometer a integridade e proteção de dados e, assim, gerar perdas financeiras, comerciais e de reputação.

Especialmente agora, após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), implementar soluções de análise comportamental do usuário se tornou essencial. Saiba mais a seguir!

O que é análise comportamental do usuário e como surgiu?

Não há nada de novo no uso de análises em proteção de dados ou prevenção de violações. Os firewalls de primeira geração, por exemplo, analisam o conteúdo do pacote e outros metadados, como endereços IP, para detectar e impedir que invasores tenham sucesso em suas investidas. Os softwares antivírus verificam constantemente os sistemas de arquivos em busca de malware, bits de código e outros sinais de que um arquivo está infectado.

A análise comportamental do usuário, por sua vez, é uma prática de segurança cibernética que usa aprendizado de máquina e aprendizado profundo para modelar o comportamento de usuários em redes corporativas.

As ferramentas utilizadas para essa finalidade coletam dados sobre como os usuários interagem com os dispositivos, aplicativos e outros ativos conectados digitalmente. Assim, é possível entender como é o comportamento típico de cada usuário, o que permite identificar uma ação incomum ou suspeita, como acesso a sistemas e dados não usuais.

Ao combinar visibilidade e contexto, as soluções de análise comportamental do usuário conseguem identificar ameaças que ferramentas de defesa tradicionais deixam passar. Isso ajuda a reduzir drasticamente o tempo para detectar e responder a ataques cibernéticos.

Um breve histórico

A análise comportamental do usuário, um desdobramento da análise comportamental, é um conceito que começou no mundo do marketing, no início dos anos 2000, com as soluções de Analytics. Essas ferramentas fornecem relatórios organizados de logs de atividades do servidor, o que concede aos profissionais de marketing uma visão muito maior sobre quem fez o quê enquanto estava em seu site.

Agora, as mesmas informações estão sendo utilizadas em todos os departamentos de uma organização, especialmente em relação à segurança, mas também em recursos humanos, vendas e quaisquer outros setores orientados a processos dentro de uma organização.

Quais os seus benefícios?

A utilização de soluções de análise comportamental do usuário traz diversos benefícios para a proteção de dados, dentre eles:

Identificação de ameaças internas

O número de violações de dados continua a aumentar ano após ano e, segundo o DBIR de 2021 da Verizon, os atores internos têm grande participação nesses incidentes (44% em empresas de pequeno e médio porte e 36% em empresas de grande porte).

Por esse motivo, é extremamente vital ser capaz de identificar os riscos potenciais com antecedência e tomar medidas para proteger seus dados críticos.

As soluções de análise comportamental de usuário podem ajudar as organizações a identificar pessoas com comportamento de risco e os usuários que acessam dados críticos.

Além disso, elas identificam ações que parecem suspeitas e notificam o administrador sobre a anomalia.

Detecção e investigação de violação de segurança

Nenhuma empresa está isenta de sofrer algum incidente de segurança, como uma invasão de sistemas. Por isso, é importante aprimorar as ferramentas de detecção e investigação.

É fato que, quanto antes você descobrir a violação de segurança, melhor para a sua empresa. Assim, é possível evitar maiores danos e corrigir as falhas.

Nesse sentido, a análise comportamental do usuário aumenta drasticamente suas chances de identificar onde estão as vulnerabilidades.

Em caso de violação interna, você poderia encontrar o momento em que um usuário inseriu um USB ou acessou um site ou documento contendo malware.

Se o ataque se originar de fora da sua organização, você pode rastrear e entender os movimentos do usuário não autorizado em toda a rede, arquivos e dispositivos de sua organização.

Otimização e dimensionamento de processos de negócios

Implementar a análise comportamental do usuário torna sua organização mais transparente, já que cada ação é documentada.

Ao mesclar esses dados com as informações de Business Intelligence, você pode entender quais processos estão funcionando e quais podem ser otimizados.

As ferramentas de análise de comportamento do usuário permitem que a organização conduza uma prática chamada Business Process Mining. Esse processo envolve auditoria de como cada trabalho é feito, observando os resultados. Em seguida, é proposto um novo método derivado dos dados, a fim de agregar melhorias.

Visibilidade adicional para Compliance

O comportamento anômalo provavelmente viola a política da sua empresa. Portanto, é de interesse das equipes de Compliance contar com essas informações a fim de tomar as medidas cabíveis.

Quais ameaças podem ser detectadas?

Os tipos de comportamento anormal que a análise do comportamento do usuário encontra não são uma lista estática. Diferentes fornecedores adotam abordagens distintas, que são aperfeiçoadas constantemente.

Em geral, as principais ameaças detectadas pelas soluções de análise comportamental do usuário são:

• Escalonamento de privilégios. Os usuários ou malware podem procurar truques que os permitam fazer coisas que não estão autorizados a fazer. Bugs de software, por exemplo, às vezes impedem que o código verifique corretamente a autorização antes de realizar uma ação privilegiada.
• Solicitações de dados em massa. Os processos normais geralmente não pedem um grande número de registros de uma vez. Em muitos casos, é um sinal de tentativa de roubo de dados.
• Modificações anormais. O que constitui mudanças anormais é uma questão complexa. Porém, a modificação em massa em grande escala é geralmente suspeita. Já a modificação de cada arquivo em um diretório é altamente suspeita e pode indicar ransomware em funcionamento.
• Download de alto volume ou incomum. Geralmente, downloads de diretórios que contém informações confidenciais podem ser um roubo de dados em andamento.
• Tentativas repetidas de ações proibidas. Isso pode incluir o acesso a diretórios que o usuário não tem permissão ou operações de banco de dados, como a exclusão de tabelas que não são autorizadas para o usuário. Em pequena escala, pode significar um erro ou curiosidade do usuário, mas se se tornar um padrão, pode se tratar de uma ação mal-intencionada.
• Instalação de software não autorizado. Se isso é um problema depende das políticas da empresa. Se houver restrições sobre o que os funcionários podem instalar, uma tentativa de baixar e instalar aplicativos que não estão na lista de aprovados pode indicar, no mínimo, negligência com a segurança de dados.
• Transferência de dados para um canal externo. Existem muitos casos em que isso é legítimo e normal. Se a transferência for para um endereço IP que normalmente não é usado, pode haver problemas. A quantidade e a natureza dos dados movidos são fatores para decidir se há um problema sério.

Ferramentas que ajudam a garantir a segurança de dados críticos

Hoje, as empresas têm à disposição uma série de ferramentas de análises de tráfego, que geram relatórios de segurança granulares para equipes de segurança ou responsáveis ​​pela resposta a incidentes.

De fato, a análise de tráfego é requisito para rastrear atividades baseadas no usuário e, assim, fornecer informações úteis para definir o comportamento habitual de cada pessoa que possui acesso à rede, aos sistemas e aplicações. Assim, torna-se possível identificar qualquer ação que foge ao padrão e que representa perigo à segurança da informação, como a acesso a dados críticos.

Ferramentas avançadas de SIEM (Security Information and Event Management), por exemplo, incluem Análises Comportamentais de Entidade e Usuário (UEBA), bem como orquestração, automação e resposta de segurança (SOAR).

Os firewalls de próxima geração são ferramentas fundamentais para garantir a segurança de dados críticos. O Sophos Firewall, por exemplo, com base na análise de tráfego, identifica usuários de maior risco, com base na atividade da web e incidentes de ameaças recentes.

Além disso, com base nos logs de firewall de próxima geração – incluindo logs de tráfego, logs de aplicativos aprimorados, logs de ameaças e logs de filtragem de URL – é possível aplicar análises comportamentais e aprendizado de máquina aos dados para detectar ataques furtivos, como movimento lateral ou exfiltração.

Finalmente, para uma estratégia de segurança mais completa e robusta, é altamente recomendável que as empresas utilizem em conjunto soluções que ofereçam recursos de perfil de dispositivo com reconhecimento de contexto, como o Secure Mobile Access (SMA), da SonicWall.

Assim, além de levar em conta o comportamento do usuário, é possível fazer uma averiguação dos dispositivos que estão sendo utilizados para acessar os dados críticos, incluindo softwares instalados, atualizações de segurança pendentes, etc.

Soluções de análise de perfil de dispositivo e reconhecimento de contexto são especialmente importantes em empresas que adotam estratégias de home office, trabalho híbrido e BYOD.

Isso porque, ao permitir o acesso a usuários localizados fora das dependências da empresa, muitas vezes utilizando dispositivos pessoais, é fundamental implementar camadas adicionais para confirmar a identidade e evitar o acesso indevido a dados críticos.

Conclusão

As empresas precisam estar atentas às ameaças externas e internas. Nesse sentido, a análise comportamental do usuário é um componente importante das práticas de segurança para detectar ações hostis de funcionários, contas comprometidas e malware.

No entanto, no contexto atual, em que há forte adesão de rotinas de trabalho remoto, é fortemente recomendável que a as ferramentas de análise comportamental sejam complementadas por soluções de análise tráfego, de contexto e de perfil de dispositivo.

Se você deseja implementar uma abordagem completa e sob medida para garantir a proteção dos dados críticos da sua empresa, fale com um de nossos especialistas agora mesmo!