A análise do utilizador para proteger a organização

User Behaviour Analytics concentra-se na monitorização e análise das ações dos utilizadores em diversos sistemas onde o principal objetivo é detetar padrões de comportamento anormais que possam indicar determinadas atividades maliciosas, sejam elas realizadas propositadamente pelo utilizador ou devido às credenciais terem sido comprometidas.

Esta análise é feita através da recolha e análise dos dados das interações dos utilizadores com os vários sistemas de uma organização. Habitualmente, as soluções de User Behaviour Analytics são aplicadas a esses dados para identificar comportamentos suspeitos ou fora do padrão habitual.

User Behaviour Analytics na estratégia da organização

Paulo Pinto, Business Development Manager da Fortinet Portugal, considera o User Behaviour Analytics como uma “estratégia de cibersegurança fundamental para proteger as organizações”, uma vez que a monitorização permite “detetar anomalias no comportamento dos utilizadores”, algo que diz ser “crucial para a identificação precoce de atividades suspeitas ou maliciosas”.

	É preciso ir um pouco mais longe e introduzir o conceito de User and Entity Behaviour Analytics, “uma versão mais abrangente porque incorpora a monitorização de processos não humanos e entidades, incluindo routers, servidores e endpoints ou dispositivos” Paulo Pinto, Business Development Manager da Fortinet Portugal

No entanto, Paulo Pinto refere que é preciso ir um pouco mais longe e introduzir o conceito de User and Entity Behaviour Analytics, “uma versão mais abrangente porque incorpora a monitorização de processos não humanos e entidades, incluindo routers, servidores e endpoints ou dispositivos”.

Rui Barata Ribeiro, Security Leader da IBM Portugal, defende que, “apesar de todas as iniciativas de transformação digital”, há “duas constantes” que “se mantêm inalteradas”: são elas os utilizadores e os dados. Assim, a tecnologia de User Behaviour Analytics tem como principal valência permitir “um mecanismo constante de análise de comportamentos de utilizadores, o que pode potenciar a deteção de anomalias resultantes de algum tipo de comprometimento”. O comprometimento de identidades válidas representou, segundo o “2024 X-Force Threat Intelligence Index” da IBM, 30% dos vetores de ataque iniciais usados em 2023.

João Ribeiro, Technical Specialist da Microsoft Portugal, afirma que, no contexto estratégico da cibersegurança de uma organização, estas soluções “são fulcrais, na medida em que permitem monitorizar e analisar os comportamentos dos utilizadores”. Diz João Ribeiro que “um comprometimento de uma identidade através de uma campanha de phishing irá provocar um conjunto de ações por parte da mesma que não serão consideradas normais pela solução”. A título de exemplo, “não será normal um utilizador começar a criar regras de reencaminhamento de e-mail para determinados endereços em que todo o e-mail de entrada vai para uma pasta ‘escondida’ antes de sair da organização”.

Os benefícios do User Behaviour Analytics

A tecnologia de User Behaviour Analytics tem como principal valência permitir “um mecanismo constante de análise de comportamentos de utilizadores, o que pode potenciar a deteção de anomalias resultantes de algum tipo de comprometimento” Rui Barata Ribeiro, Security Leader da IBM Portugal

Rui Barata Ribeiro relembra que “não existem silver bullets” e que “a segurança funciona por camadas de proteção”, o que significa que as tecnologias de User Behaviour Analytics “têm de ser vistas como um mecanismo de segurança em profundidade, em complemento com outras tecnologias”. Assim, implementar uma destas soluções permite uma melhoria na capacidade de deteção de ataques evasivos, entendimento – do ponto de vista temporal – relativamente aos utilizadores que podem de facto constituir um maior risco para a organização e, ao mesmo tempo, uma contribuição para um melhor desenho dos controlos de segurança aplicáveis.

João Ribeiro destaca a deteção antecipada de uma ameaça, neste caso, a identificação de comportamentos suspeitos em tempo real que permitem uma resposta e contenção “em tempo útil por parte da organização”. Ao mesmo tempo, “a capacidade de prevenção de perda de informação através da monitorização dos acessos e da utilização dos dados permitindo a deteção de atividades suspeitas tais como uploads massivos de informação para localizações externas à organização”.

Para Paulo Pinto, “o principal benefício” passa pela “identificação precoce de atividades suspeitas ou maliciosas”. Focando-se mais em User and Entity Behaviour Analytics, o representante da Fortinet refere que pode trazer outros benefícios para as organizações, “especialmente num cenário onde as tradicionais ferramentas de segurança já não são suficientes para proteger contra intrusões”.

Identificar as ameaças

Tendo “sempre por base a análise comportamental dos utilizadores de uma organização”, as soluções de User Behaviour Analytics monitorizam a identidade “independentemente de se estar a realizar atividades anormais numa rede corporativa ou numa plataforma de cloud”, indica João Ribeiro.

Paulo Pinto refere que o principal benefício destas soluções reside “na sua capacidade de detetar um conjunto alargado de ciberameaças”. Por exemplo, “se um utilizador habitualmente transfere ficheiros de 20MB por dia e, de repente, começa a transferir 4GB”, o sistema identifica “uma anomalia e pode alertar os administradores de IT ou tomar medidas automáticas”.

Rui Barata Ribeiro relembra que, como uma grande proporção dos ataques envolvem, em algum momento, credenciais comprometidas de um determinado utilizador, vai existir um acesso indevido utilizando essas credenciais. “Esse utilizador passará, necessariamente, a ter um comportamento anómalo face ao que seja a sua atividade normal”, explica, acrescentando que “um drill down dos detalhes relativos a esse comportamento anómalo permitirá aos analistas ter elementos para entender em que áreas deverão aprofundar a sua análise”.

Os indicadores monitorizados

A base da informação recolhida pelas soluções de User Behaviour Analytics, explica Rui Barata Ribeiro, da IBM, é “a pegada digital dos utilizadores na rede interna”. Tipicamente, isso significa o tráfego de acesso, de autenticação e alterações nas contas do utilizador; comportamento na rede, nomeadamente dispositivos como proxies, firewalls, IPS e VPN; logs aplicacionais e de endpoints, assim como de serviços SaaS ou na cloud; e análise de tráfego de rede por conteúdos que possam revelar dados de utilizador.

“Ações como downloads ou uploads massivos de informação para localizações ou aplicações não corporativas, envio de email massivo para domínios externos, tentativas de movimentos laterais através da extração de credenciais em memórias, múltiplas tentativas de login por endereçamentos de IP maliciosos ou redes privadas TOR, entre outros, são exemplos de indicadores que estas soluções podem detetar” João Ribeiro, Technical Specialist da Microsoft Portugal

João Ribeiro acrescenta que “ações como downloads ou uploads massivos de informação para localizações ou aplicações não corporativas, envio de email massivo para domínios externos, tentativas de movimentos laterais através da extração de credenciais em memórias, múltiplas tentativas de login por endereçamentos de IP maliciosos ou redes privadas TOR, entre outros, são exemplos de indicadores que estas soluções podem detetar”.

Desafios na implementação

João Ribeiro, da Microsoft, admite que surgem desafios “no que respeita a implementação e manutenção” destas soluções. Numa primeira fase, pode “ser necessário redimensionar infraestruturas atuais em produção” porque, dependendo da solução, “o processamento e monitorização pode sobrecarregar os sistemas existentes”. Outro desafio, acrescenta, baseia-se na eficiência da interpretação e a validação dos resultados e alertas gerados pela solução e a monitorização pode “exigir intervenção humana para confirmar ou refutar as anomalias, os riscos e as ameaças que são detetadas” ou “tomar as medidas adequadas de mitigação e remediação”. Por fim, “todas estas atividades vão requerer um período definido de capacitação das equipas operacionais durante e após a implementação da solução”.

Paulo Pinto, da Fortinet, assume que existem alguns desafios “na aquisição e implementação”, sendo que um deles é o preço que “pode simplesmente estar fora do alcance de certas organizações”; embora seja uma vantagem para grandes organizações “com necessidades de segurança complexas e em evolução”, pode ser “complicada para pequenas e médias empresas que podem lidar com deteção e gestão de ameaças através de uma variedade de outras soluções”. Ao mesmo tempo, diz, “as organizações provavelmente já têm uma stack de segurança em funcionamento que pode incluir sistemas antigos que podem não acompanhar o panorama de ameaças em constante evolução”.