SIEM
Os cibercriminosos de hoje são mestres do disfarce: esforçam-se para que suas ações maliciosas pareçam processos comuns. Eles utilizam ferramentas legítimas, se comunicam com servidores de comando e controle via serviços públicos, e disfarçam a execução de códigos maliciosos como ações comuns dos usuários. Esse tipo de atividade quase passa despercebido pelas soluções tradicionais de segurança; porém, algumas anomalias podem ser identificadas ao analisar o comportamento de usuários, contas de serviço ou outras entidades. Esse é o princípio básico de um método de detecção de ameaças chamado UEBA, abreviação para “análise do comportamento de usuários e entidades”. E é exatamente isso que implementamos na versão mais recente do nosso sistema SIEM, a Kaspersky Unified Monitoring and Analysis Platform.
Como a UEBA funciona em um sistema SIEM
Por definição, a UEBA é uma tecnologia de segurança cibernética que monitora o comportamento de usuários, dispositivos, aplicativos e outros elementos de um sistema para identificar possíveis ameaças. Embora essa tecnologia possa ser usada com qualquer solução de segurança, acreditamos que sua eficácia é maior quando integrada a uma plataforma SIEM. Ao usar aprendizado de máquina para estabelecer um padrão normal de comportamento de um usuário ou objeto (seja um computador, serviço ou outra entidade), um sistema SIEM com regras UEBA pode identificar desvios desse padrão. Isso possibilita a detecção oportuna de APTs, ataques direcionados e ameaças internas.
Por isso, adicionamos ao nosso sistema SIEM um pacote de regras UEBA, criado especialmente para identificar anomalias em processos de autenticação, atividades de rede e execução de processos em estações de trabalho e servidores Windows. Isso torna nosso sistema mais eficiente na identificação de ataques novos, difíceis de detectar por meio de regras de correlação comuns, assinaturas ou indicadores de comprometimento. Cada regra do pacote UEBA é baseada no perfil comportamental de usuários e objetos. As regras se dividem em duas categorias principais:
- Regras estatísticas, que utilizam o intervalo interquartil para identificar anomalias com base nos dados atuais de comportamento.
- Regras que detectam desvios do comportamento esperado, identificados pela análise da atividade passada de uma conta ou objeto.
Quando um desvio em relação à norma histórica ou à expectativa estatística é identificado, o sistema gera um alerta e aumenta a pontuação de risco do respectivo objeto (usuário ou host). (Leia este artigo para entender como nossa solução SIEM utiliza IA para pontuação de risco.)
Estrutura do pacote de regras UEBA
Para este pacote, focamos nas áreas onde a tecnologia UEBA tem melhor desempenho, como proteção de contas, monitoramento de rede e autenticação segura. Nosso pacote UEBA atualmente inclui as seguintes seções:
Autenticação e controle de permissões
Essas regras identificam métodos de login incomuns, picos repentinos de erros de autenticação, inclusão de contas em grupos locais em computadores diferentes e tentativas de autenticação fora do horário comercial. Cada um desses desvios é sinalizado e aumenta a pontuação de risco do usuário.
Perfil de DNS
Voltado para análise das consultas DNS realizadas por computadores na rede corporativa. As regras desta seção coletam dados históricos para identificar anomalias, como consultas de tipos de registros desconhecidos, nomes de domínio excessivamente longos, zonas incomuns ou frequências de consulta atípicas. Também monitora o volume de dados retornados via DNS. Qualquer desvio é considerado uma ameaça potencial e aumenta a pontuação de risco do host.
Perfil de atividade de rede
Rastreamento das conexões entre computadores, tanto dentro da rede quanto com recursos externos. Essas regras sinalizam conexões feitas pela primeira vez a novas portas, contatos com hosts anteriormente desconhecidos, volumes incomuns de tráfego de saída e acesso a serviços de gerenciamento. Todas as ações fora do comportamento esperado geram alertas e elevam a pontuação de risco.
Perfil de processo
Esta seção monitora programas iniciados em pastas do sistema Windows. Se um novo executável for executado pela primeira vez nos diretórios System32 ou SysWOW64 em um computador específico, ele será sinalizado como uma anomalia. Isso aumenta a pontuação de risco do usuário que iniciou o processo.
Perfil do PowerShell
Esta seção rastreia a origem das execuções de scripts PowerShell. Se um script for executado pela primeira vez em um diretório fora dos padrões, como diferente de Arquivos de Programas, Windows ou outras pastas comuns, a ação é considerada suspeita e eleva a pontuação de risco do usuário.
Monitoramento de VPN
Isso identifica diversos eventos como arriscados, incluindo logins de países não relacionados ao perfil do usuário, viagens geograficamente impossíveis, volumes incomuns de tráfego via VPN, alterações no cliente VPN e várias tentativas de login falhas. Cada um desses eventos eleva a pontuação de risco da conta do usuário.
O uso das regras UEBA nos ajuda a detectar ataques sofisticados e a reduzir falsos positivos por meio da análise do contexto comportamental. Isso melhora consideravelmente a precisão da análise e diminui a carga de trabalho dos analistas de segurança. O uso de UEBA e IA para atribuir uma pontuação de risco acelera e aprimora o tempo de resposta dos analistas, permitindo uma priorização mais precisa dos incidentes. Aliado à criação automática de padrões comportamentais típicos, isso aumenta significativamente a eficiência das equipes de segurança. Isso elimina tarefas rotineiras e oferece um contexto comportamental mais rico e preciso para detecção e resposta a ameaças.
Estamos constantemente aprimorando a usabilidade do nosso sistema SIEM. Fique de olho nas atualizações da Kaspersky Unified Monitoring and Analysis Platform na página oficial do produto.
Dicas