Combinando Threat Intelligence com Behavioral Analytics: Detecção de Insider Malicioso através do InCyber

Com as ameaças internas continuando a gerar riscos cibernéticos corporativos, as equipes de segurança devem encontrar novas maneiras de melhorar a detecção de anomalias usando arquivos de log de sistema, aplicativo e rede.

Compreendendo a ameaça

Compreendendo a ameaça
Os agentes mal-intencionados estão agora procurando atalhos para obter acesso ou interromper as operações

Os insiders continuam a criar um risco cibernético crescente para as organizações. A empresa de consultoria TAG Cyber, com sede em Nova York, relata, por exemplo, que os riscos internos evoluíram para uma das três principais preocupações relatadas por equipes lideradas por CISO nas empresas. Isso não deve ser nenhuma surpresa, porque com ativos valiosos mais protegidos do acesso externo por ferramentas de segurança modernas, os agentes mal-intencionados estão agora procurando atalhos para obter acesso ou interromper as operações.

O desafio de lidar com ameaças internas na empresa geralmente requer atenção a três dimensões do problema:

  • Indivíduo comprometido ou descontente – Esta é a situação mais comum, em que um insider confiável usa credenciais autorizadas para liderar ou apoiar um ataque. A motivação para tal ação é o compromisso de uma entidade externa, como um estado-nação, ou o descontentamento por uma variedade de razões pessoais potenciais.
  • Acesso interno habilitado para malware – este caso envolve malware sendo inserido em um endpoint, dispositivo ou sistema controlado por algum interno. O malware provavelmente seria projetado para utilizar os privilégios concedidos a esse insider para iniciar um ataque interno. Os e-mails de phishing funcionam dessa maneira.
  • Ação Não Intencional por Insider Benigno – O caso de um insider criando involuntariamente uma condição de violação é especialmente difícil de lidar. As equipes de segurança serão motivadas a mostrar simpatia, recomendar treinamento e maior conscientização nesses casos. Mas tal tratamento fornece uma desculpa para atores comprometidos que são pegos.

Por fim, as equipes corporativas precisarão criar juntas uma solução abrangente que trate dos três casos mencionados acima. A meta deve ser dar suporte a operações de classe mundial, administradas por pessoas de confiança, mas com uma rede de segurança que garanta que os internos não possam, intencional ou acidentalmente, criar condições prejudiciais. Isso requer uma combinação de controles focados em pessoas, processos e tecnologia.

Evidência Baseada em Anomalia

Evidência Baseada em Anomalia
Lidar com o risco cibernético associado a usuários internos exige uma variedade de proteções e incentivos

A comunidade de segurança cibernética concordou que lidar com o risco cibernético associado a usuários internos exige uma variedade de proteções e incentivos. A contratação cuidadosa e o treinamento excelente para os funcionários ajudam muito na redução de riscos. Além disso, arquiteturas de segurança sensatas, incluindo controles baseados em nuvem, são eficazes na redução do risco interno. Mas o método que se mostrou mais eficaz na redução do risco interno envolve a detecção de evidências de comportamento anômalo.

Referido na comunidade de segurança cibernética como análise comportamental do usuário (UBA), este método de detecção de segurança depende dos seguintes recursos funcionais:

  • Acesso a evidências – Obviamente, qualquer solução UBA exigirá acesso a esses sistemas, aplicativos, redes e repositórios que podem conter evidências de que uma ameaça interna está presente. Esse acesso nunca deve impedir as operações e deve ser consistente com todas as restrições legais, políticas e regulamentares. 
  • Capacidade de processamento – A capacidade de coletar e processar as informações coletadas requer atenção a várias questões práticas. Isso inclui capacidade de coleta e armazenamento, métodos de processamento para análise em tempo real e off-line e inclusão de métodos avançados, como aprendizado de máquina.
  • Saída orientada à ação – qualquer processo de detecção de segurança só será útil se a saída da análise se conectar facilmente com a ação prática. Isso implica que o UBA deve gerar uma saída orientada para a ação ou o sistema pode evoluir para a geração de artefatos para relatórios que não são lidos nem utilizados.

Esses três requisitos do UBA servem como uma base útil para equipes de seleção de origem empresarial que podem estar revisando diferentes ofertas de plataformas comerciais.

Abordagem de detecção InCyber

A solução ​​foi projetada especificamente para complementar e ser integrada às arquiteturas de segurança corporativa existentes

A abordagem adotada pelo InCyber ​​para reduzir o risco interno é impulsionada pelos três requisitos listados acima. A solução InCyber ​​também é guiada, no entanto, pelo entendimento de que a maioria das equipes corporativas já implantou controles de segurança para reduzir o risco – e isso pode até incluir um sistema UBA existente. Como resultado, a solução ​​foi projetada especificamente para complementar e ser integrada às arquiteturas de segurança corporativa existentes.

Os aspectos salientes da abordagem de detecção InCyber ​​para evidências de atividades internas na empresa incluem o seguinte:

  • Solução UBA aumentada – A solução ​​é projetada para aumentar as arquiteturas de segurança existentes. Inclui interfaces abertas e conectores de dados que permitem que seja facilmente inserido em uma arquitetura de proteção implantada. Tal aumento reconhece que poucas equipes empresariais estão começando do zero em seu programa de risco interno.
  • Coleta de fontes de atividade confiáveis – As fontes de dados do InCyber ​​são comparáveis ​​a um ambiente de processamento SIEM típico. Ou seja, a evidência é extraída dos arquivos de log e atividade de praticamente qualquer aplicativo, sistema, terminal e rede considerados vitais para a empresa. O InCyber ​​terá uma conexão pronta ou desenvolverá uma.
  • Processamento Heurístico Avançado – Os algoritmos de processamento usados ​​pelo InCyber ​​são projetados para usar heurística avançada para identificar threads comuns, relacionamentos significativos e conexões sutis nos dados. O pacote usa aprendizado de máquina e métodos relacionados para realizar essa tarefa vital de extração.
  • Inteligência de ameaças externas e internas – uma das grandes vantagens da cobertura holística fornecida pelo InCyber ​​é que ela permite a combinação eficaz de fontes de inteligência internas e externas. Isso permite, em teoria, a conexão de registros bancários legalmente obtidos para validar alguma conclusão extraída de fontes internas.

Uma consideração importante no uso do InCyber ​​é a característica de implantação sem agente da solução. A plataforma foi projetada para coletar e ingerir a atividade e os arquivos de log já disponíveis na empresa. É por isso que o InCyber ​​é uma ferramenta tão fácil de integrar em uma arquitetura implantada. Ele combina, agrega e processa especificamente dados que já estão presentes e que podem conter evidências não detectadas anteriormente.

Um ponto adicional que vale a pena enfatizar: embora o UBA esteja necessariamente focado na detecção e na resposta, ele pode servir como uma medida preventiva eficaz ao identificar evidências de risco interno antes que algo importante possa se materializar. Esse é um diferencial importante para todas as soluções analíticas de segurança, mas é especialmente verdadeiro para o InCyber, dada sua ênfase na coleta e análise de dados de uma variedade de fontes.

Reduza o risco de ameaças internas no seu negócio!

Converse com nossos especialistas

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages