Identificando comportamentos para impedir criminosos digitais

Identificando comportamentos para impedir criminosos digitais

Orion Cassetto, diretor de marketing de produto da Exabeam, pesquisa o risco de segurança cibernética para diferentes departamentos de uma empresa. Segundo ele, os membros mais graduados de uma empresa costumam ser os alvos mais lucrativos para os cibercriminosos

Os departamentos de uma organização podem ser facilmente distinguidos por onde estão situados em um prédio – talvez finanças e vendas compartilhem o mesmo andar e os executivos estão no sexto andar – mas sua atividade na rede é identificável. Cada usuário em uma rede executa tarefas específicas e gera eventos exclusivos todos os dias. Esses eventos são registrados e coletados para fornecer informações valiosas aos analistas de segurança que podem ser usadas para criar perfis de atividades e detectar anomalias.

À medida que os ataques cibernéticos se tornam mais complexos e difíceis de localizar, as regras de correlação geralmente carecem de contexto e também exigem manutenção significativa, o que gera falsos negativos ou ignora incidentes únicos. Para atenuar as ameaças e garantir que as atividades mal-intencionadas dos invasores não sejam esquecidas, os analistas de segurança devem ser capazes de comparar os comportamentos básicos dos usuários em todos os níveis de uma companhia.

A análise de comportamento baseada em aprendizado de máquina é cada vez mais implantada por equipes de segurança para identificar quando contas de usuário legítimas exibem comportamento anormal e, depois disso, fornecer insights sobre usuários comprometidos e mal-intencionados para analistas de SOC e equipes de ameaças internas.

Vamos ver como podem ser algumas atividades normais de rede para várias personas de empresas e exemplos de comportamentos anômalos que podem levantar suspeitas para analistas de SOC – e como lidar com eles.

Executivos da empresa: CEOs, COOs e CFOs

Os membros mais elevados de uma empresa costumam ser os alvos mais lucrativos para os cibercriminosos. Como eles têm uma influência significativa dentro de uma empresa, os criminosos podem facilmente obter ativos se fazendo passar por esses indivíduos. O comportamento normal de rede para um CEO e outros executivos de alto nível pode incluir o compartilhamento de documentos importantes com as partes interessadas, acesso a novos planos de negócios, revisão de contratos, dados competitivos ou fusões e informações de aquisição.

Se um desses indivíduos de repente estiver direcionando transferências eletrônicas suspeitas ou enviando e-mails em massa para a equipe ou partes interessadas contendo links maliciosos, isso fará com que os analistas do SOC investiguem mais a fundo.

Financeiro

Semelhante aos executivos, os departamentos financeiros lidam com ativos confidenciais e privilegiados, provando que são uma mina de ouro para os malfeitores. Os gerentes financeiros e a equipe podem acessar documentos orçamentários, coletar registros de gastos para diferentes departamentos organizacionais ou lidar com contas a receber e a pagar.

Eles podem acessar documentos de folha de pagamento, mas provavelmente não baixariam informações sobre um fornecedor da empresa ou contrato de um funcionário, pois geralmente contém informações pessoais como dados bancários, números de previdência social ou endereços privados. Essas atividades certamente devem soar alarmes.

Recursos Humanos

Os diretores e gerentes de RH costumam atuar como o principal elo de ligação entre a administração da organização e os funcionários. Os recursos humanos costumam ser muito ativos na rede de uma empresa devido à natureza de seu trabalho, o que significa que sua atividade de rede pode ser complexa e difícil de ser monitorada por sistemas legados.

Usar softwares como DocuSign ou DropBox provavelmente seria um comportamento básico para os departamentos de RH, o que os ajudaria a facilitar a contratação e integração de novos funcionários. O comportamento anormal de um funcionário de RH pode parecer o de um usuário tentando acessar registros financeiros ou baixar documentos fiscais pessoais de funcionários.

Vendas e marketing

O comportamento da linha básica de usuários de vendas e marketing provavelmente incluiria o acesso a aplicativos como Zoom ou Skype para hospedar apresentações de vendas ou reuniões, mas eles provavelmente não precisariam ver arquivos pessoais ou documentos financeiros. Esse tipo de comportamento provavelmente geraria uma pontuação de alto risco e exigiria uma investigação mais aprofundada. Eles também costumam enviar arquivos grandes, como arquivos de design, vídeos, gravações de webinars, etc, seja por meio de aplicativos de compartilhamento de arquivos, para um site ou para parceiros e clientes.

Para outras ferramentas, isso pode parecer extração de dados devido a grandes transferências de arquivos de saída. Os funcionários de vendas e marketing, que costumam se comunicar com mais frequência com entidades externas, como fornecedores ou agências terceirizadas, também podem ser facilmente vítimas de ataques de preenchimento de credenciais. Depois de roubar as informações desses usuários, os hackers se movem lateralmente dentro de uma rede para obter acesso a um nível superior na esperança de obter dados privados ou ativos de alto valor.

TI

Esses profissionais geralmente têm privilégios administrativos que os hackers podem usar para obter acesso autorizado a recursos de alto valor, como um banco de dados confidencial, um sistema de gerenciamento de direitos do usuário ou um sistema de autenticação. Quando um hacker obtém credenciais de usuário com privilégios, o ator da ameaça pode se mover livremente pela rede. Por esse motivo, os analistas do SOC devem monitorar de perto essa categoria de usuários em busca de atividade anormais que podem indicar uma ameaça.

Embora as tarefas dos profissionais de TI possam ser generalizadas e irrestritas, até mesmo um pico de frequência no que seriam consideradas atividades normais por um usuário de rede específico pode disparar um aviso de que a conta foi comprometida.

Usando análises comportamentais para detectar ameaças mais cedo

À medida que as empresas e seus funcionários continuam a resistir e prosperar em acordos de trabalho remoto, sua dependência de recursos baseados em nuvem e atividade de rede torna-se mais complexas. Por esse motivo, a análise comportamental é uma das tecnologias mais adotadas na segurança corporativa e está sendo usada para detectar e investigar ameaças avançadas.

Essa abordagem adaptável e personalizável usa a análise comportamental de usuários e também de entidades não usuárias, como roteadores, servidores e terminais que não podem ser tratados como soluções legadas. As soluções de análise comportamental divergem com variações de Inteligência Artificial e Aprendizado de Máquina, análises avançadas, enriquecimento de dados e ciência de dados para combater com eficácia ameaças complexas.

Observando o cenário total, as equipes do SOC podem obter uma estimativa melhor do contexto de um alerta potencial para que possam calibrar as pontuações de risco de forma mais realista e evitar um grande número de falsos positivos. Essa abordagem combina todas as fontes de dados com análises para que os analistas de segurança possam obter um feed de baixo volume e alta fidelidade e parem de se afogar em ruídos intermináveis, permitindo que permaneçam vigilantes e detectem comportamentos suspeitos desde o C-suite até a TI.

Sobre Orion Casseto

Orion Cassetto, diretor de marketing de produto da Exabeam, tem quase uma década de experiência em marketing de segurança cibernética e produtos de segurança de aplicativos da web. Antes da Exabeam, Orion trabalhou para outros grandes fornecedores de segurança, incluindo Imperva, Incapsula, Distil Networks e Armorize Technologies. Ele é um entusiasta da segurança e palestrante frequente em conferências e feiras comerciais sobre o assunto.

Clique abaixo para compartilhar este artigo

Navegue por nossa
primeira edição

Magazine Cover

Ver Arquivo da Revista