Não há nada de novo quando se trata de aplicar a tecnlogia de analytics na proteção de dados ou prevenção de intrusões. Firewalls, por exemplo, analisam pacotes de dados e outros metadados (como endereços IP) para detectar e bloquear as invasões. Softwares antivírus estão constantemente escaneando arquivos em busca de malwares, em busca de sinais de que algum arquivo foi infectado.

Diferentemente de firewalls e antivírus, o User Behavior Analytics (ou UBA) tem por objetivo analisar o que o usuário está fazendo: aplicativos que está usando, atividade de rede e, mais importante, arquivos acessados. Ele vem justamente eliminar essas dúvidas, ao utilizar big data e dados de máquina para avaliar o risco, quase em tempo real, da atividade do usuário. Dessa forma, o UBA procura por padrões de uso que indiquem um comportamento anormal, independente se essa atividade vai vir de um hacker, de um funcionário, malware, ou outros processos. Enquanto o UBA não previne a atividade de hackers, certamente consegue rapidamente identificar a intrusão e minimizar os danos.

O UBA é próximo do SIEM (Security and Information Event Management). O SIEM é focado na análise de eventos capturados em firewalls, sistemas operacionais, e outros logs de sistema para identificar correlações, geralmente utilizando regras pré-determinadas.

O problema é que, ao dar foco somente no perímetro dos sistemas e nos logs dos sistemas operacionais, ao invés de analisar os dados, acaba abrindo brechas para a atividade criminosa, já que as técnicas de invasão incluem, é claro, simular a atividade de um usuário comum. E é aí que o UBA entra: ao jogar a luz nas atividades do usuário, e não nos eventos do sistema, a tecnologia “aprende” os padrões usados pelos usuários e, consequentemente, a diferenciar a atividade de um hacker de um usuário comum.

Por que UBA?

Essa é uma excelente questão. Para entender porque utilizar essa tecnologia, é preciso considerar os problemas das abordagens atuais de segurança, que não estão conseguindo conter os ataques. Basta ver as manchetes na imprensa, e você terá a impressão de que não só os hackers melhoraram suas técnicas: eles têm a chave da porta da frente.

No caso notório do WikiLeaks e Edward Snowden, os hackers não só tinham a chave da porta da frente, como estavam literalmente dentro. No caso da Target, os hackers obtiveram a senha de um login remoto. No caso do Escritório de Administração Pessoal dos Estados Unidos, os hackers enganaram um funcionário, que fez o download de um malware, originando um ataque via phishing.

Defender o ambiente interno de usuários legítimos não faz parte da equação da segurança baseada apenas no perímetro, e os hackers facilmente conseguem entrar, por meio de portas legítimas e públicas e, então, obter acesso como usuários.

Uma vez dentro, os hackers utilizam malwares que não são identificados pelos antivírus. Algumas vezes, eles utilizam ferramentas de sistema para conduzir o seu trabalho internamente.

O que é essencial no UBA

Veja o que é essencial em um software de UBA:

• A ferramenta deve processar dados massivos referentes ao comportamento do usuário e atividade de e-mail. Servidores de dados não estruturados possuem uma quantidade enorme de dados sensíveis. Para garantir a segurança, a ferramenta deve conseguir analisar metadados-chave e atividade de vários usuários;
• Determinar o que é “atividade normal”. Você precisará acessar dados históricos sobre as atividades dos usuários. A ferramenta deve conseguir analisar com profundidade todos os dados disponíveis;
• Enviar alertas em tempo real. O software também deve conseguir rastreae atividades em tempo real, mesmo em ambientes com um grande número de usuários. Seus algoritmos para detecção de qualquer atividade hacker devem conseguir identificar qualquer atividade anômala praticamente em tempo real – e não apenas no final do dia.