Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

Transcrição

1 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager Detecção e resposta a comportamentos anômalos 1 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

2 Sumário 4 UEBA com McAfee Enterprise Security Manager isolado 6 Correlações múltiplas revelam eventos quase em tempo real 6 Casos de uso de comportamento do usuário com o McAfee Enterprise Security Manager 7 Exploração de contas 8 Atividade maliciosa potencial seguida de vazamento de dados 9 Utilização anormal do sistema após um login de usuário incomum 10 O tráfego do usuário para um aplicativo corporativo diverge da média 11 Mesma identificação utilizada em locais diferentes ao mesmo tempo. 12 Maus comportamentos recorrentes 13 Melhores juntos: UEBA terceirizada e o McAfee Enterprise Security Manager 14 O McAfee Enterprise Security Manager viabiliza opções de UEBA 15 Sobre a McAfee 2 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

3 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager Detecção e resposta a comportamentos anômalos A análise comportamental de usuários e entidades (UEBA) aplica uma variedade de tecnologias avançadas para rastrear e sinalizar comportamentos suspeitos ou maliciosos. Inicialmente, as análises se concentraram nas atividades dos usuários, mas se expandiram rapidamente para incluir comportamentos incomuns de outros ativos em rede, como sensores, bancos de dados e hosts. A discussão no mercado sobre UEBA aumentou recentemente por diversas razões: As empresas estão preocupadas com comportamentos arriscados dos usuários acidentais ou deliberados que possam resultar em vazamento de dados ou violações de conformidade. O roubo de credenciais é uma razão comum para o sucesso dos atacantes, permitindo acesso remoto, ampliação de privilégios e movimentação lateral enquanto o atacante se disfarça de usuário legítimo. Atividade incomum de usuários pode ser um indício de tal situação. Sistemas operacionais de segurança de alto desempenho, como gerenciamento de eventos e informações de segurança (SIEM), uniram forças com tecnologias mais recentes, como UEBA, para também acrescentar mais contexto às tarefas de detecção, monitoramento, análise e imposição, contínuas e em tempo real (ou quase em tempo real). Alguns fornecedores estão sugerindo que soluções UEBA isoladas são suficientes para monitorar e compreender o comportamento dos usuários, gerando confusão e incerteza quanto às soluções nas quais investir recursos humanos e orçamentários. Como em muitas outras áreas das operações de segurança, o espaço UEBA intersecciona outras infraestruturas em termos de escopo e contribuição. Embora diretórios de usuários e gerenciamento de identidades possam dar a você e às suas ferramentas informações sobre utilização de usuários e funções, a UEAB oferece análises que destacam padrões e comportamentos incomuns, 3 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

4 idealmente antes que ocorra algum roubo, interrupção ou comprometimento. Na maioria dos casos, a UEBA oferece análises dedicadas que complementam as análises com base em regras e parâmetros que vêm amadurecendo no espaço do SIEM há vários anos, com diversos fornecedores de SIEM oferecendo níveis variados de suporte nativo e integrado para aplicativos de UEBA. A UEBA pode desempenhar vários papéis dentro da empresa, oferecendo às soluções de SIEM mais visibilidade para fins de conformidade e monitoramento dos usuários, aumentando a velocidade, a precisão e a especificidade dos alertas de segurança e esclarecendo analistas de segurança e investigadores de violações de dados. As operações de segurança mais avançadas da atualidade utilizam essas tecnologias juntas para maximizar os pontos fortes de cada ferramenta. Funções básicas de linha de referência, detecção e monitoramento, juntamente com correlações de alta velocidade dentro do SIEM, atuam em muitos casos básicos de uso de UEBA. Aproveitando as análises especializadas da UEBA e mesclando seus insights de volta no SIEM, você consegue uma detecção avançada, aliada a operações eficientes. Quanto mais sofisticadas são as operações de segurança da sua organização, mais você desejará adaptar e estender as análises para integrar insights de UEBA nos seus processos de caça a ameaças, escalada de riscos e investigação. Este documento oferece uma visão geral das capacidades básicas de UEBA disponíveis na solução McAfee Enterprise Security Manager e apresenta os vários parceiros cujos produtos estão fortemente integrados e certificados com o McAfee Enterprise Security Manager. O objetivo dessas integrações de parceiros-chave e capacidades nativas é ajudar todas as corporações a tomar a melhor decisão ao adotar esse importante conjunto de ferramentas. UEBA com McAfee Enterprise Security Manager isolado A vantagem de monitorar a atividade e o comportamento dos usuários é poder aumentar a precisão das operações de segurança enquanto se abreviam os cronogramas de investigação. Durante muitos anos, compreender a atividade e o comportamento dos usuários insights obtidos com detecção de anomalias e parâmetros de SIEM ajudou os usuários do McAfee Enterprise Security Manager a identificar ameaças ocultas em meio a grandes volumes de dados. Em vez de se concentrar exclusivamente em usuários ou entidades, o McAfee Enterprise Security Manager utiliza uma combinação de detecção de anomalias com regras personalizadas, bem como outros modelos de correlação inteligentes e avançados. Essas análises utilizam linhas de referência para determinar o que é norma e, então, levam em consideração comportamentos espúrios como parte 4 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

5 de um monitoramento e geração de alertas contínuos. As atividades dos usuários são tratadas como parte de um cálculo maior de segurança e risco que ajuda a área de operações a reconhecer e priorizar os incidentes. Por exemplo, o McAfee Enterprise Security Manager foi desenvolvido para interpretar diversas situações comuns nas quais a visibilidade sobre usuários e entidades têm um impacto fundamental, como: Quando atividades anômalas em contas de usuários, como criação, bloqueio, compartilhamento, abuso ou exploração, apontam para uma violação mais grave. Quando atividades de vazamento de dados indicam que algo está fora do normal, como um usuário enviando informações confidenciais para fora da rede. Quando atividades incomuns, como logins de usuário efetuados a altas horas da noite a partir de locais estranhos, seguidos de algum mau uso do sistema, demandam investigações adicionais. O McAfee Enterprise Security Manager oferece acesso a tais casos de uso de UEBA por meio de pacotes de conteúdo disponíveis para download que oferecem visualizações, regras, alarmes e listas de observação predefinidos. O McAfee Enterprise Security Manager inclui vários métodos de correlação desde os tradicionais com base em regras (por ex.: cinco logins falhos no prazo de dez minutos = ataque de força bruta) a desvios padrão mais complexos (por ex.: uso da conta de serviço 20% acima do nível normal). Ir além de regras simples proporciona mais precisão na identificação de eventos e padrões significativos, com técnicas de desvio que detectam eventos nas etapas preliminares do ataque, viabilizando uma interrupção proativa e evitando a perda de dados. Além disso, o McAfee Enterprise Security Manager pode combinar automaticamente essas duas técnicas com métodos complementares de correlação. 5 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

6 Correlações múltiplas revelam eventos quase em tempo real A velocidade é fundamental na triagem e no monitoramento de segurança e diversos tipos de correlação podem ser realizados em diferentes partes da arquitetura do McAfee Enterprise Security Manager para coletar, interpretar, normalizar, enriquecer, agregar e processar, com rapidez e eficiência, os fluxos de dados. Mais especificamente, a correlação inicial com base em regras e em tempo real do McAfee Event Receiver revela correspondências, para análises adicionais e aceleradas. O McAfee Advanced Correlation Engine (McAfee ACE), appliance opcional, físico ou virtual, específico para correlação, pode realizar correlações avançadas de eventos com base em regras, além de incorporar fluxos e desvios nas correlações. Essas opções de desvio ajudam a definir limiares precisos, com opções de percentual em relação à média e valor fixo em relação à média em vez de apenas um desvio padrão. Além disso, o McAfee ACE acrescenta duas correlações especializadas: correlação de risco para priorizar eventos com base no valor do ativo e na gravidade da ameaça e correlação histórica para detectar eventos anteriores relacionados. Variáveis e regras de correlação são fornecidas como parte do conteúdo padrão e todas as regras são personalizáveis. Diferentemente das regras condicionais se/então elementares que permeiam os controles de segurança, as correlações avançadas podem aninhar componentes, utilizar lógica e/ou, consultar listas de observação relacionadas às preocupações do momento e incluir filtros detalhados para produzir alertas e correspondências altamente refinadas. Casos de uso de comportamento do usuário com o McAfee Enterprise Security Manager Rastrear a atividade dos usuários e poder detectar e compreender comportamentos anômalos é uma maneira eficaz de identificar vários tipos de violações de segurança. Esta seção ilustra seis casos de uso nos quais a análise de comportamento do usuário do McAfee Enterprise Security Manager é essencial para se compreender possíveis violações de segurança. 6 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

7 Exploração de contas Um método de ataque comum consiste em adivinhar credenciais de login. O atacante normalmente automatiza um processo para enviar solicitações de login utilizando uma longa lista de prováveis nomes de usuário e senhas comuns em um breve intervalo de tempo. É um processo com repetições rápidas, chegando a centenas ou milhares de solicitações por segundo. Neste exemplo, uma tentativa de login por força bruta foi detectada, seguida por um login bem-sucedido do mesmo endereço IP de origem. Podemos ver a seguir uma série de atividades suspeitas que resultaram em um alerta. Também podemos estabelecer um perfil do usuário afetado, além de determinar qual é o seu departamento na empresa. Figura 1. Examinando nosso dashboard, podemos ver muitos eventos correlacionados associados ao comportamento do usuário. Possível resolução* Bloquear imediatamente o acesso à conta e ao sistema. Informar ao usuário autorizado quem ele deve contactar para restaurar suas credenciais e redefinir sua senha. Rever o número máximo permitido de tentativas de login falhas na sua política de segurança. Iniciar uma investigação sobre as características do ataque para poder prevenir ataques semelhantes no futuro e desenvolver novas políticas com base no perfil do ataque. Figura 2. Aprofundando-nos no evento acima, podemos ver a série de atividades suspeitas que resultaram no alerta e podemos estabelecer o perfil do usuário afetado. 7 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

8 Atividade maliciosa potencial seguida de vazamento de dados Quando um host é comprometido, frequentemente há um aumento em indicadores comportamentais incomuns, como visitas a sites aleatórios, tráfego extra e protocolos espúrios em uso por uma máquina. Esses desvios em relação ao comportamento normal podem afetar parâmetros, como uma mudança no volume dos dados que saem, o que pode indicar que dados confidenciais estão sendo vazados para uma fonte externa. Um desvio nos protocolos e endereços IP de destino pode indicar que o host está infectado e comunicando-se com o atacante. De qualquer forma, esses comportamentos suspeitos são característicos de ameaças em potencial e indicadores-chave para impulsionar investigações. Figura 3. Aqui podemos ver a regra de correlação que foi disparada, bem como a maneira de personalizar o limiar de desvio para refletir os comportamentos aprendidos. Aumentos incomuns são determinados com base no limiar definido pelo administrador. Nesse caso, o McAfee Enterprise Security Manager produzirá alertas com base em eventos acima de dois desvios padrão em relação à linha de base. Possível resolução* Os usuários podem criar um alarme para alertar uma equipe de resposta a incidentes quando a regra de correlação satisfizer determinadas condições. O host deve ser investigado quanto a uma possível infecção ou comprometimento. 95,4% das ocorrências -3σ -2σ -1σ 0 1σ 2σ 3σ Figura 4. Um limiar foi estabelecido para gerar alertas com base em eventos que estejam fora de dois desvios padrão em relação à média ou 4,6% de todas as ocorrências. 8 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

9 Utilização anormal do sistema após um login de usuário incomum O comportamento suspeito pode ser um sem número de coisas, não necessariamente graves isoladamente, mas que, juntas, formam um padrão indicador de uma ameaça em potencial. Não é fácil prever cada passo que um possível atacante pode dar. É mais útil compreender o que é o comportamento normal e tratar com suspeita tudo o que for anormal. Neste caso, um alerta foi disparado após um evento de login bem-sucedido de usuário ocorrer em um local e horário suspeitos. Ambos os eventos originaram-se do mesmo IP de origem. Isso pode indicar que algum atacante encontrou uma maneira de penetrar a sua segurança, colocando em risco a sua rede, sua propriedade intelectual e as informações dos seus clientes. Figura 5. Esta é a regra de correlação descrita no cenário acima. Possível resolução* Primeiro, investigue o IP de origem. Caso esteja se comunicando de fora da sua rede local, pode ser desejável bloquear o endereço no seu perímetro. Se for interno, investigue cuidadosamente para determinar se o host foi comprometido e considere bloquear o acesso ao destino. Em qualquer dos casos, investigue qual é a atividade suspeita e isole o host, se necessário. Se você considerar a atividade nociva, atualize a politica de segurança conforme necessário. Figura 6. Ao clicar no alerta de evento em nosso dashboard, podemos examinar seus detalhes e identificar o usuário afetado e a localização geográfica da origem, proporcionando insights imediatos sobre o quem e o onde dessa atividade suspeita. 9 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

10 O tráfego do usuário para um aplicativo corporativo diverge da média Nesse caso, um aumento anormal no tráfego enviado para um aplicativo corporativo pelo mesmo usuário pode indicar uma ameaça em potencial ou mau uso. Em ambas as possibilidades, a equipe de operações de segurança deve ser capaz de identificar rapidamente essa atividade. O McAfee Enterprise Security Manager correlaciona e determina o perfil desse tráfego anormal para revelar o usuário envolvido, bem como o aplicativo afetado. Além disso, a solução também pode revelar o momento exato em que a regra de comportamento foi disparada. Figura 7. Esta é a regra de correlação descrita no cenário acima. Possível resolução* Se a sua preocupação é que o usuário esteja violando a política de segurança da empresa, investigue mais. Envie um para o executivo envolvido para verificar se foi realmente um uso anormal ou não. Figura 8. Nos detalhes, podemos identificar o usuário, o intervalo de tempo e o aplicativo envolvido. 10 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

11 Mesma identificação utilizada em locais diferentes ao mesmo tempo Logins remotos simultâneos podem ter uma explicação inocente. Um funcionário pode estar viajando a trabalho e acessando a rede interna durante a viagem. No entanto, uma outra possibilidade é que um atacante tenha obtido acesso à conta de um funcionário existente. Em ambos os casos, o evento merece ser melhor investigado. Essa regra detecta múltiplos eventos de logon com o mesmo usuário originando-se de diversos lugares dentro de um período de tempo especificado. Possível resolução* Verifique se o usuário é um funcionário autorizado em viagem de negócios aprovada. Talvez seja interessante criar regras especiais para funcionários que viajam com frequência. Monitore o host quanto a quaisquer comportamentos suspeitos que possam indicar uma violação da segurança. Figura 9. Na linha de cima, podemos ver onde ocorreram logins de usuário suspeitos de múltiplos endereços IPs, bem como os usuários envolvidos. Na linha de baixo, podemos ver o mesmo para logins de usuários suspeitos de diversos lugares, o que nos dá insights sobre os usuários e locais afetados. 11 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

12 Maus comportamentos recorrentes A detecção de maus comportamentos recorrentes dos funcionários é uma capacidade fundamental ao rastrear a frequência dessas situações, a equipe de segurança pode identificar os desafios mais difíceis dentro da empresa, direcionar suas medidas de segurança e discutir ações e políticas eficazes. O McAfee Enterprise Security Manager oferece essa visibilidade com o contexto de informações de segurança necessário. O dashboard abaixo, por exemplo, reúne os usuários mais problemáticos e detalhes sobre suas atividades. Ele inclui em uma lista de observação específica todos os usuários capturados. Possível resolução* Certifique-se de que esses problemas sejam discutidos e enfrentados devidamente com um plano de gerenciamento e resposta a incidentes. Ao selecionar um usuário, podemos compreender o contexto geral rapidamente. Figura 10. Este dashboard mostra os principais usuários suspeitos em nossa organização e um resumo do que eles vêm fazendo. Usuários recorrentes devem ser observados cuidadosamente por serem responsáveis pela maioria dos problemas de segurança. 12 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

13 Melhores juntos: UEBA terceirizada e o McAfee Enterprise Security Manager Para enfrentar um caso de uso específico, os clientes podem constatar que precisam de análise especializada, disponibilizada por um fornecedor de UEBA terceirizado. Em distribuições de UEBA bem-sucedidas, a vantagem decorre da combinação das capacidades especializadas da UEBA com a ampla visibilidade do SIEM. O sucesso do gerenciamento de incidentes como um todo requer visibilidade e acesso a dados e tendências de toda a arquitetura do McAfee Enterprise Security Manager, o que inclui dados de aplicativos e sistema de endpoint, inteligência sobre ameaças e perfis de ativos. A integração de UEBA com o McAfee Enterprise Security Manager proporciona um ponto central do qual todas as ações podem ser realizadas como gerenciar investigações de grande alcance, automatizar tarefas repetitivas e corrigir violações. Além disso, o McAfee Enterprise Security Manager oferece dashboards, relatórios, alertas, suporte para fluxos de trabalho e integração com contramedidas e sistemas de emissão de tíquetes. Uma vez que a empresa tenha distribuído e personalizado essas funções operacionais, é mais eficiente e eficaz enriquecer esses processos com dados de usuários e entidades, em vez de criar um conjunto paralelo de sistemas e tarefas que ofereçam uma integração de dados limitada e manual e não aproveitem soluções existentes e mais abrangentes. Dadas essas vantagens complementares, muitas empresas valorizam a distribuição de uma combinação fortemente integrada das duas tecnologias. A integração da UEBA com o McAfee Enterprise Security Manager ajuda a priorizar alertas para interceptação imediata e resposta priorizada. Ao combinar novos dados de usuários com outros parâmetros organizacionais, contextuais e de ameaças dentro do McAfee Enterprise Security Manager, listas de observação e regras podem desencadear mudanças na política, alertas e processos de escalada. Essas atividades de resposta rápida complementam a mineração póstuma de dados do usuário, também útil em investigações forenses que se estendam além do comportamento do usuário e da entidade para uma melhor resolução do incidente. Essa combinação também aproveita o sólido mecanismo de geração de relatórios do SIEM. Quando as soluções de UEBA enviam informações de volta para o McAfee Enterprise Security Manager, é possível visualizar aqueles dados dentro de um relatório, bem com sintetizar os dados dentro dos relatórios operacionais, dashboards e fluxos de trabalho existentes. 13 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

14 O McAfee Enterprise Security Manager viabiliza opções de UEBA A especialidade da UEBA evoluiu rapidamente, começando pelos usuários e agora abrangendo entidades. Como núcleo de um ecossistema aberto, o McAfee Enterprise Security Manager integra-se com vários produtos de UEBA, oferecendo integrações comprovadas que você pode aproveitar em vez de criar conexões não reaproveitáveis, caso a caso. Isso ajuda a simplificar as investigações de segurança e a correção, independentemente dos processos preferidos da sua organização. Embora os recursos exatos da integração variem dependendo das capacidades da solução de UEBA em questão, avaliamos e selecionamos fornecedores que nós e nossos clientes identificamos como os que oferecem as análises de mais alta qualidade do mercado. A McAfee faz parcerias com fornecedores de UEBA, tanto estabelecidos quanto emergentes. A lista completa das integrações atuais do McAfee Enterprise Security Manager está disponível na página do McAfee Innovation Alliance. Os parceiros do Security Innovation Alliance integraram, testaram e certificaram suas soluções de segurança para que funcionem com o McAfee Enterprise Security Manager. Nós colaboramos com nossos parceiros para simplificar a integração desses produtos até mesmo nos ambientes mais complexos dos clientes. Isso proporciona um ecossistema de segurança verdadeiramente conectado que otimiza o valor dos seus investimentos existentes, aumenta a eficiência, maximiza a proteção e reduz os custos operacionais. Parceiros de UEBA integrados ao McAfee Enterprise Security Manager: Exabeam Fortscale Gurucul Interset Niara Securonix E mais Comece agora Para obter mais informações sobre o McAfee Enterprise Security Manager, visite siem/index.aspx. Conheça os parceiros atuais do McAfee Innovation Alliance: security-innovation-alliance/ index.aspx. * Resoluções específicas podem variam com base nas suas condições de rede e política de segurança. 14 Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager

15 Sobre a McAfee A McAfee é uma das maiores empresas independentes de segurança cibernética do mundo. Inspirada pelo poder do trabalho em equipe, a McAfee cria soluções que tornam o mundo um lugar mais seguro para as empresas e os consumidores. Ao criar soluções que operam com produtos de outras empresas, a McAfee ajuda as empresas a orquestrar ambientes cibernéticos verdadeiramente integrados, onde a proteção, a detecção e a neutralização de ameaças ocorrem de forma simultânea e colaborativa. A McAfee protege todos os dispositivos dos clientes para que eles tenham segurança em seu estilo de vida digital, tanto em casa quanto em trânsito. Com sua iniciativa de trabalhar ao lado de outras empresas de segurança, a McAfee lidera os esforços de unificação contra os criminosos cibernéticos. O resultado? Todos saem ganhando. Av. Nações Unidas, º andar Pinheiros São Paulo SP CEP , Brasil McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, LLC ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Copyright 2017 McAfee, LLC. 2760_0317 MARÇO DE Análise comportamental de usuários e entidades para o McAfee Enterprise Security Manager