Qual o diferencial das soluções de UBA?

Em termos gerais, as soluções de UBA (User Behavior Analytics – Análise de Comportamento de Usuário) monitoram, coletam e avaliam os dados e atividades do usuário. Os primeiros sistemas de análise de comportamento surgiram nos anos 2.000 e eram usados pelas equipes de marketing para identificar padrões de compras de seus clientes.

Mas atualmente as suas funcionalidades vão muito além disso, principalmente na área de segurança, incorporando capacidades de análise de perfil e de monitoramento de anomalias mais robustas do que as encontradas nas soluções de SIEM (Security Information and Event Management – Gerenciamento e Correlação de Eventos de Segurança).

Em primeiro lugar, as soluções de UBA identificam os padrões de atividades normais para a sua organização e dos seus funcionários. E, em segundo lugar, usam análise de big data e algoritmos de aprendizagem de máquina para avaliar desvios em tempo real.

As soluções de UBA coletam diversos tipos de dados atuais e passados, como as funções de usuários e atributos – incluindo acesso, contas e permissões -, atividades e localização geográfica do usuário e alertas de segurança. A partir dessa coleta, esses dados são analisados levando em consideração os recursos utilizados, duração das sessões, conectividade e atividades de grupos, identificando comportamentos suspeitos. Também atualizam de forma automática as alterações nos dados, como permissões adicionais.

A solução de UBA desenvolvida pela Splunk, da qual a PROOF é a maior parceira no Brasil, permite que as equipes de segurança encontrem ameaças conhecidas, desconhecidas e ocultas, e tenham uma visão de todo o ciclo de vida de um ataque – externo ou interno – em interface amigável.

Seus principais recursos – detecção de ameaças com base no comportamento; workflow detalhado de ameaças; detecção do kill chain e descoberta do vetor de ataque, revisão e exploração de ameaças e autoaprendizado e ajuste – permitem que empresas de todos os portes, detectem e respondam a ameaças conhecidas, desconhecidas e ocultas.

Além de empresas, as soluções de UBA também oferecem proteção para agências e instituições governamentais, garantindo a integridade das informações e serviços.

Autenticação multifator ajuda a mostrar quem está do outro lado

O crescimento dos ataques de phishing e de outras atividades fraudulentas realizadas no ambiente cibernético não é novidade para ninguém. No entanto, proteger informações sensíveis de forma rentável e sem comprometer a usabilidade e conveniência do cliente continuam sendo dois grandes desafios para as empresas.

Sob este cenário e o aumento na utilização de smartphones para transações online, realizar a autenticação multifator pode trazer grandes benefícios para ambos os lados, sendo que o primeiro deles é a prevenção de prejuízos financeiros ocasionados por falha na segurança das plataformas.

Além da utilização de nome de usuário e senha, uma segunda autenticação com o envio de um código ou senha para o e-mail ou dispositivo móvel do cliente tem sido um método de autenticação multifator cada vez mais utilizado no mercado. No entanto, smartphones, notebooks e tablets nem sempre são seguros e um crescente volume de malwares tem permitido que códigos de verificação fossem rastreados e utilizados por hackers, em diversas partes do mundo.

A solução para inibir esses fatores é incluir um novo tipo de autenticação multifator, principalmente para o acesso a dados sensíveis. Um relatório recente da Gartner apontou a tendência de que dispositivos móveis podem fazer uso de serviços de notificação, que fornecem um canal de autenticação out-of-band mais seguro. Servidores de autenticação enviam notificações por meio do sistema operacional do dispositivo. Essas mensagens são encaminhadas para um pré-registro do dispositivo e acionam um aplicativo local que pode autenticar ainda mais o usuário, por meio de informações contextuais, PIN / senha ou método biométrico. Após a autenticação local bem sucedida, o aplicativo notifica o serviço de autenticação, que completa o ciclo out-of-band.

Para saber mais sobre como implementar uma estratégia de segurança adequada para a sua empresa, confira o whitepaper da PROOF Como implementar um risk assessment efetivo, e minimize os efeitos de quaisquer riscos em seus ativos.

Ciclo OODA: conheça esta nova abordagem de gestão de riscos

Manter a atualização sobre meios de realizar a gestão de riscos do negócio é parte do processo de quem trabalha com tecnologia. Assim, uma nova abordagem tem sido proposta para o setor de segurança da informação: o Ciclo OODA.

Sigla para Observar, Orientar, Decidir e Agir, o novo conceito de origem militar consiste em enfrentar e resolver desafios, como ter visibilidade em tempo real para responder à montagem de ciberataques, ameaças persistentes avançadas e vazamentos de informação privilegiada. Tudo para implementar processos automatizados que notifiquem incidentes de segurança de maneira proativa e promova a intervenção humano-guiada.

Originalmente desenvolvido pelo Coronel John Boyd, um dos pilotos de caça mais condecorados da história da Força Aérea norte-americana, o Ciclo OODA representa o processo necessário para “vencer a guerra” e foi utilizado pelo militar para ganhar duelos aéreos na Coréia e no Vietnã. Especialistas acreditam que o método pode ser utilizado para identificar, visualizar, priorizar e orquestrar a correção da maioria das ameaças cibernéticas.

Confira as quatro etapas do Ciclo OODA e como se aplicam às atuais práticas de gestão de risco:

Observar

Para entender a última etapa – Agir (também chamada de ações de correção) – a primeira delas é fundamental para minimizar a exposição ao risco cibernético de uma organização. Em muitas empresas, a sobrecarga de dados tornou-se o calcanhar de Aquiles das operações de segurança no dia-a-dia, o que pode tornar o ambiente muito vulnerável. Assim, o conceito busca a agregação automatizada de informações em diferentes tipos de dados, seu mapeamento para os requisitos de conformidade e a normalização para excluir falsos positivos e duplicatas.

Orientar

Focadas em seu modelo interno de Segurança da Informação, muitas organizações têm dificuldade em priorizar suas ações de gestão de riscos com base na importância dos ativos de negócio. Combinando o modelo de ciclo OODA com ferramentas de gerenciamento de risco cibernético, é possível colocar sob uma visão holística o contexto da inteligência interna de segurança, dos dados sobre ameaças externas e da importância do negócio. Desta forma, a área de Segurança da Informação pode determinar quais ameaças iminentes de ataques cibernéticos precisam ser mitigadas.

Decidir

Na guerra cibernética, as decisões precisam ser feitas rapidamente. O Ciclo OODA busca a aplicação de classificação de risco e tecnologia avançada de aprendizado, para classificar o nível de gravidade que as ameaças individuais representam para ativos, aplicativos e processos de negócios. Esta abordagem pode ser usada para que as equipes de operações de segurança possam concentrar-se sobre os riscos que ameaçam o negócio e acelerar significativamente o processo de decisão.

Agir

O aumento da colaboração entre as equipes de operações de segurança e de TI continua sendo um desafio para muitas organizações. Nesse contexto, o Ciclo OODA propõe a combinação de fluxo de trabalho, atribuindo etapas de correção detalhadas para cada tipo de vulnerabilidade e para automatizar a gestão de risco em tempo real.

Com Security Week.15

Novas tecnologias de segurança que serão tendência

Atualmente há uma série de novos desafios, como a necessidade de autenticação e controle de acesso em tempo real, que exigem da segurança da informação novas abordagens e tecnologias de segurança.

As ameaças enfrentadas por consumidores, negócios e governos exigem soluções de segurança inteligentes, que tenham dados de segurança como foco.

Entenda algumas tecnologias de segurança que vão guiar a próxima geração da segurança de dados:

 

Segurança deve ser em tempo real

A autenticação tem sido uma ferramenta efetiva contra as ameaças, porém, algumas persistem mesmo depois da verificação de acesso do usuário.

Isso acontece porque a análise em tempo real se tornou uma necessidade. Só porque um usuário foi autenticado há dois minutos, não significa que tenha deixado de ser uma ameaça.

O desafio de oferecer segurança em tempo real só pode ser atendido com uma combinação de hardware e software inteligentes.

Uma tendência crescente é o uso de inteligência artificial e User Behaviour Analytics (UBA).

 

UBA gera novas demandas em sistemas

O UBA não desempenha seu papel apenas nos computadores dos usuários, mas em toda a rede. O objetivo é o mesmo: analisar o comportamento de toda a rede.

O uso de algoritmos inteligentes para determinar se um ataque está em execução e aprender com padrões passados é importante, porém, há custos para processar tantos dados e tomar uma decisão efetiva antes que um ataque cause danos críticos.

Tecnologias como análise comportamental e inteligência artificial são importantes para lidar com alguns desafios trazidos pela segurança em tempo real.

No entanto, requerem um grande poder de proteger o usuário enquanto oferece uma experiência positiva, já que, como sabemos, o usuário tende a evitar ou sabotar funcionalidades de interfaces lentas ou complexas demais.

 

Malware, infraestrutura e criptografia

O UBA é uma ferramenta importante que permite melhorar soluções já existentes, como as de detecção de malwares.

Uma série de fornecedores de softwares de segurança já está modificando soluções tradicionais, como antivírus, para fazer uso de tecnologias como UBA para identificar novas ameaças.

A tendência é que vejamos cada vez mais fornecedores criando soluções mais complexas com modelos de análise mais ricos e investindo em pesquisas em inteligência artificial para melhorar seus algoritmos.

Saiba mais sobre o que será tendência em segurança da informação nos próximos anos no whitepaper da PROOF, O Papel do CIO e do CISO no Novo Cenário de Segurança.

Com Dark Reading

Conheça três tendências no mercado de cibersegurança

Segundo o instituto Gartner, o mercado de segurança da informação deve chegar a US$ 103,1 bilhões no mundo até 2019. No Brasil, o número deve alcançar US$ 1,6 bilhão no mesmo período. O número, no entanto, ainda é modesto em relação ao custo do cibercrime para as corporações, que registra US$ 400 bilhões ao ano.

Segundo o IDC aponta, na América Latina, os segmentos que mais vão crescer dentro do mercado de cibersegurança são Security Threat Intelligence, Mobile Security e Cloud Security. Entenda o crescimento dessas tecnologias:

Threat Intelligence

Nos últimos anos, assistimos ao crescimento do número de incidentes de segurança e a grandes violações que representaram perdas financeiras gigantescas, principalmente a grandes corporações.

Isso mostra a necessidade de haver um compartilhamento maior e mais rápido de informações entre empresas, fabricantes e fornecedores de serviços de segurança. Os cibercriminosos já realizam esse tipo de compartilhamento entre si.

Existe também a necessidade de abandonar a mentalidade de segurança de perímetro, com investimento cada vez maior na segurança dos dispositivos, das aplicações, no conhecimento do cenário de ameaças e na capacidade de resposta aos incidentes.

Os feeds de reputação e Treat Intelligence garantem contextualização sobre as ameaças à segurança. Esse mercado, que em 2013 representava apenas US$ 250 milhões, até 2018 deve crescer 600%, atingindo US$ 1,5 bilhão, segundo previsões do Gartner.

Cloud Security

Há muito tempo a nuvem deixou de ser uma aposta para se tornar uma realidade. Hoje, essa tecnologia é parte central do crescimento de milhares de negócios digitais. Em 2014, o mercado de cloud movimentou cerca de US$ 56,6 bilhões, o que ainda representa menos de 3% do gasto mundial com TI, mas um crescimento de dez vezes em seis anos. Segundo o IDC, esse mercado deve chegar a US$ 127 bilhões, dobrando seu valor atual em apenas quatro anos.

A segurança na nuvem, no entanto, ainda é a maior barreira apontada por executivos para adoção total da nuvem. Quase 80% dos gerentes estão preocupados com os serviços pessoais na nuvem que são usados por visitantes e funcionários. O mercado de segurança da informação conta ainda com novos players promissores e o aumento das startups, que também devem contribuir para o crescimento na oferta de soluções de cloud security.

A demanda por Managed Security Services (MSS) na busca para reduzir CAPEX também devem impulsionar o crescimento do Cloud Security. Segundo o Gartner, até 2019, o segmento de cloud security terá um crescimento projetado para US$ 8,71 bilhões.

Mobile Security

A mobilidade e o Bring Your Own Device (BYOD) são também grandes preocupações da indústria de segurança. De acordo com o instituto IDC, os dois setores são os que mais vão crescer até 2020 devido aos investimentos no aumento de produtividade e à popularização de smartphones, permitindo que funcionários trabalhem quando e onde quiserem.

Essas tecnologias, junto do Bring Your Own Apps (BYOA) e Bring Your Own Cloud (BYOC), devem tirar o sono dos profissionais de segurança, que terão de gerenciar múltiplos dispositivos desconhecidos no uso de serviços pessoais e empresariais de nuvem.

Em 2013, o mercado de BYOD e o Enterprise Mobility alcançou US$ 71,93 bilhões e, segundo a M&M, deve alcançar US$ 266,17 bilhões em 2019. Dentro desse mercado gigantesco, o mercado de cibersegurança deve chegar a US$ 24,6 bilhões em 2020. O crescimento será alto principalmente por causa de tecnologias mobile que estão se popularizando, como MDM e MCM.

Phantom ganha prêmio Innovation Sandbox Contest

A Phantom ganhou o prêmio Innovation Sandbox Contest de startup mais inovadora. O concurso é realizado dentro da RSA Conference, nos Estados Unidos, um dos mais importantes eventos na área de segurança da informação do mundo, famoso por abordar as principais tendências e inovações no mercado de segurança.

O Innovation Sandbox Contest, que é realizado anualmente, este ano premiou a Phantom principalmente por causa de sua habilidade na demonstração de uma solução clara para enfrentar três grandes desafios de segurança: ameaças de segurança chegando a diversidade, volume e velocidade nunca antes vistas; aumento da complexidade devido à quantidade de produtos e plataformas; e escassez de profissionais de segurança da informação.

A Phantom oferece uma solução que, ao receber alertas, como o de uma infecção de malware, por exemplo, automaticamente já busca diversas informações internas e externas – incluindo listas de reputação ou de/para de nome de usuário/máquina – e atua para mitigar e bloquear ataques, interagindo com outras soluções de segurança, como firewalls.

Em seguida, a equipe de segurança recebe um e-mail, não só com o resultado dessa resposta ao incidente, como também um relatório de outras máquinas internas que também podem estar infectadas. Isso permite que os profissionais de segurança identifiquem rapidamente as ameaças e ajam com confiança para fechar lacunas.

A PROOF conversou com o fundador e desenvolvedor da solução, Oliver Friedrichs, fundador e CEO da Phantom e comprovou o quanto a solução é diferenciada, pois coleta informações de diversas fontes para realizar um processo de resposta a incidentes de segurança de maneira automatizada, com diversas interações.

Boa parte da estratégia é baseada na força da comunidade. Qualquer um pode desenvolver integrações e playbooks (runbooks) para a plataforma. A melhor parte é a compatibilidade total com soluções da Splunk, empresa apontada pelo Gartner em como líder no quadrante em gerenciamento de informações e segurança, de 2015.

Confira a apresentação da plataforma:

 

Otimize a segurança da informação com aprendizado de máquina

O termo aprendizado de máquina rapidamente está se tornando popular em várias áreas da tecnologia. Quando o assunto são soluções de segurança da informação, a promessa é a de dar às empresas a habilidade de detectar ameaças avançadas e desconhecidas, indo além do prometido pelas soluções tradicionais de detecção de ataques com malware.

Quando se trata de aprendizado de máquina, ao contrário do que muitos têm propagado, o mais importante são os dados existem por trás. O algoritmo em si desempenha apenas um papel secundário: se os dados selecionados não contiverem os parâmetros necessários para prever resultados, a precisão será baixa, independente da complexidade do algoritmo.

Por isso, é essencial contar com empresas que de fato entendam os parâmetros e os mais variados cenários ao investir em soluções que contenham aprendizado de máquina. Isso é mais importante do que o desenvolvimento de algoritmos sofisticados.

É cada vez mais urgente que as soluções de segurança da informação tenham aprendizado de máquina para proteger as empresas. No entanto, sem entender como a tecnologia funciona, fica difícil entender sua relevância. Veja como funcionam os produtos com aprendizado de máquina:

Conheça seu ambiente

Os produtos que desempenham de fato o aprendizado de máquina têm essa tecnologia como uma parte integral de sua função. É o caso, por exemplo, das ferramentas que “aprendem” o comportamento normal da rede e usam essas informações para detectar atividades suspeitas.

Não existe uma regra ou padrão predeterminado ou mesmo assinaturas que devem ser atualizadas de tempos em tempos. Softwares com aprendizado de máquina adquirem, sozinhos, uma capacidade precisa de detecção com base na coleta de informações do comportamento normal do usuário e da rede.

Não se trata apenas de uma análise comportamental. Existem muitos produtos que observam o comportamento do usuário, mas aplicam regras e assinaturas ou comparam as atividades encontradas com uma lista de comportamentos já determinada previamente, desenvolvida pelo fornecedor em seu próprio laboratório. Isso não é aprendizado de máquina.

Entre os produtos de segurança da informação que geralmente desempenham o aprendizado de máquina estão as ferramentas de detecção de fraude, anomalias e comportamento. Esses produtos geralmente têm um período de “aprendizado” até conseguirem desempenhar seu papel de alertar quanto às atividades suspeitas.

Essas soluções de segurança da informação podem oferecer maior precisão e menos alarmes falsos, pois otimizam automaticamente sua capacidade de detecção.

Um exemplo de solução que se enquadra nessas características é o Splunk UBA, que usa um algoritmo avançado para detectar ameaças internas e externas por meio da construção do perfil “normal” da rede. Saiba mais sobre como as soluções de segurança da Splunk, aliadas à expertise da PROOF, dão às empresas maior capacidade de detecção, resposta e prevenção.

Com Dark Reading

Como gerar melhores alarmes com sua ferramenta de analytics?

Você tem uma ferramenta de analytics, como as soluções da Splunk oferecidas pela PROOF, mas a grande quantidade de alertas diários está distraindo sua equipe e obrigando seus profissionais de segurança da informação a ignorá-los?

Há várias maneiras de transformar o “barulho” constante de sua ferramenta de analyitcs em um número reduzido de alertas que fazem sentido e merecem uma investigação mais detalhada. As ferramentas da Splunk, por exemplo, contêm uma série de comandos de busca para ajudar a detectar anomalias.

No início, os primeiros alertas serão resultado de buscas por erros. Por isso, de início, os administradores podem receber uma série de e-mails com os resultados encontrados.

Para reduzir a quantidade de alarmes, geralmente os profissionais optam por definir um número específico de vezes que um erro deve se repetir para que o sistema dispare um alerta. No início, essa tática pode dar certo, no entanto, em pouco tempo essa configuração não será o suficiente, tentando os profissionais de segurança a aumentar ainda mais a tolerância ao erro.

Essa tática não é eficaz porque não leva em consideração os momentos de pico de uso. Nos períodos em que há pouco uso, por exemplo, uma tolerância muito grande a erros pode fazer com que os profissionais fiquem na ignorância. Por outro lado, durante os picos, os alarmes podem ser frequentes demais.

Saiba como reduzir os alarmes sem afetar a visibilidade proporcionada pelas ferramentas de analytics:

Estude a rede

Para definir as melhores configurações para a ferramenta de analytics e evitar o barulho constante dos falsos alarmes, os profissionais de segurança da informação devem ter um profundo conhecimento da rede em seu estado normal. Só assim poderão determinar níveis de tolerância à incidência de diferentes erros e uma porcentagem segura em relação a todos os eventos de atividades registrados em um determinado período de tempo.

Aprendizado de máquina

Softwares com tecnologia de aprendizado de máquina, como o Splunk UBA, são capazes de analisar milhares de métricas e dados de log para identificar eventos anômalos e classificá-los de acordo com sua gravidade, raridade ou número de anomalias relacionadas.

Mesmo que seu ambiente já conte com uma solução de SIEM para monitorar o ambiente, uma solução de user behaviour analytics (UBA) pode ser um grande diferencial na hora de criar as regras para a geração de alertas, pois mostra à ferramenta o que deve ser procurado. Além disso, o UBA permite detectar e responder a comportamentos maliciosos que passam despercebidos pelo SIEM.

Como a dark web pode ajudar a melhorar sua estratégia de segurança

Já pensou em ter a dark web como fonte de inteligência para sua estratégia de segurança? Os ciber criminosos que provavelmente vão atacar sua empresa um dia são usuários da dark web, que cria uma espécie de paraíso do anonimato. Ao conhecê-los, as empresas podem adotar uma abordagem proativa da segurança da informação e melhorar sua resiliência.

Ao coletar dados de inteligência da dark web, as empresas podem quantificar o que está sendo vendido no mercado negro. Isso inclui, por exemplo, listas de e-mails de clientes, informações de cartão de crédito, dados pessoais e relacionados à saúde, identidades fraudulentas e outras vulnerabilidades que ficam à venda por ciber criminosos. Ficando de olho nisso, as empresas ainda conseguem descobrir de quem as informações foram roubadas.

A dark web pode ser uma ótima fonte de informações para descobrir o perfil alvo dos ciber criminosos e quais vulnerabilidades estão sendo exploradas. Esses dados podem ser de extrema ajuda para entender quais serão os próximos passos da equipe de segurança e ajustar os investimentos. Veja o que mais a dark web pode oferecer à sua estratégia de segurança:

Fraquezas desconhecidas

Informações coletadas da dark web podem revelar fraquezas desconhecidas nos controles de segurança. Isso pode ser usado para ajudar a priorizar elementos da estratégia de segurança, desde mitigações até contramedidas, e operações de patching.

Concorrentes atacados

Se uma empresa semelhante à sua foi atacada, sua organização pode ser a próxima. Por meio da dark web, os profissionais de segurança podem investigar o perfil das vítimas, quais tecnologias são alvos mais frequentes e se preparar melhor para um possível ataque. Os líderes de segurança podem alimentar os dados de inteligência em segurança com essas informações e agir de maneira proativa contra as ameaças.

Conheça os principais ataques

Os ciber criminosos têm um modo característico de agir, isso inclui padrões, motivações e vetores de ataque falhos e bem sucedidos que podem ser usados para definir atividades criminosas. Com essas informações, as empresas podem avaliar sua atual postura de segurança e fazer ajustes proativos com base na relevância das ameaças mais frequentes.

Ao entender as atividades dos criminosos na dark web, usando dados de inteligência para decifrar seus métodos e minimizar riscos, as empresas podem posicionar melhor suas defesas e obter um maior retorno de investimento dos controles de segurança.

Uma das maneiras mais efetivas de identificar vulnerabilidades é por meio do risk assessment. Baixe o whitepaper da PROOF Saiba como implementar um risk assessment efetivo e descubra como essa ferramenta pode mapear ameaças e cruzá-las com ativos importantes, quantificando e avaliando riscos.

Com Security Week