É comum pensarmos que são conceitos semelhantes. No entanto, em uma análise mais detalhada, vemos que suas funções são diferentes
O último Verizon Data Breach Investigations Report (2015) indica que ameaças internas continuam a ser uma das maiores preocupações em segurança da informação. Para conter funcionários desonestos, o User Behavior Analytics (UBA) é uma tecnologia efetiva de prevenção de ameaças internas desenvolvida para segurança em TI.
Se sua empresa atualmente usa uma ferramenta de gerenciamento e correlação de eventos de Segurança (SIEM) para monitorar as atividades de seus usuários em busca de ações maliciosas, é um ótimo começo.
É comum pensarmos que UBA e SIEM são bastante semelhantes, no entanto, em uma análise mais detalhada, vemos que suas funções são diferentes.
Com um foco menor em eventos, e mais em atividades específicas dos usuários, a UBA constrói um perfil de um empregado baseado nos seus padrões de uso, e emite alertas ao detectar comportamentos anormais.
Confira as principais diferenças entre SIEM e UBA para entender quando implantá-los:
O que é SIEM?
SIEM combina todas as funções dos eventos de segurança do Gerenciamento de Segurança da Informação (SIM) e do Gerenciamento de Eventos de Segurança (SEM) em uma base de dados, produzindo importantes análises, relatórios e alertas de segurança em um local centralizado.
Como o SIEM funciona?
Os sistemas SIEM armazenam, analisam uma grande variedade de informações de segurança, eventos de autenticação, eventos de antivírus, eventos de auditoria, eventos de intrusão, entre outros. Qualquer evento anômalo capturado alerta um profissional ou analista de segurança para que uma ação seja tomada. Além disso, ferramentas de SIEM também podem ajudar gestores de compliance no cumprimento de exigências regulatórias.
Para que uma ferramenta de SIEM identifique eventos anômalos e envie alertas, é importante que um administrador crie um perfil do sistema sob condições de eventos normais. Os alertas podem ser pré-configurados ou customizados com suas próprias regras.
Entenda a diferença entre UBA e SIEM
As soluções de UBA são definidas por sua habilidade de auditar, e analisar o acesso de um indivíduo a arquivos e aplicações, e então conectar diferentes pontos para acenar que um indivíduo está apresentando um comportamento suspeito.
Como o UBA funciona
Nem todo software de UBA é o mesmo. O mercado é composto de soluções de business intelligence, base de dados, segurança e detecção de fraudes, bem como fornecedores que se especializam em ameaças internas.
Independente disso, o UBA ajuda a mitigar riscos tanto de ameaças internas e ataques externos por meio do mesmo princípio. Primeiro, um padrão normal é definido baseado no comportamento do usuário – acesso a arquivos, logins, atividades na rede, entre outros – durante um determinado período. Depois, o UBA pode identificar rapidamente desvios dessa padrão e gerar um alerta.
No caso de invasões ao sistema, o UBA pode dizer se as credenciais de um funcionário estão sendo usadas pelo invasor. Para usuários legítimos, o UBA pode flagrar mudanças em sua atividade que sinalizem um roubo de dados, ou uma sabotagem.
Os softwares de UBA têm suporte a regras pré-configuradas, que permitem a um administrador de TI flagrar o acesso a arquivos sensíveis fora do horário de trabalho, por exemplo. No entanto, o UBA se destaca mais ainda ao lidar com o desconhecido e então acenar para variações – em qualquer forma que se apresentem. Por exemplo, o UBA pode flagrar automaticamente centenas de ações de deleção em um curto período de tempo, visitas anormais a diretórios, ou aberturas de aplicações pouco usadas.
*Carlos Rodrigues é country manager da Varonis.
