Além das assinaturas: modernização de SecOps
Utilizar a detecção comportamental por IA para superar invasores avançados
Os modelos de segurança cibernética convencionais, por si só, não são suficientes para lidar com o volume, a variedade e a velocidade das ameaças que as organizações enfrentam atualmente. As equipes de segurança que dependem de modelos legados reativos continuarão a correr atrás de adversários que usam uma gama crescente de ferramentas avançadas e recursos de IA prontamente disponíveis para lançar ataques e evitar a detecção
As equipes de operações de segurança modernas devem operar dentro de um novo modelo de segurança cibernética que possa detectar e responder rapidamente a um volume crescente de ataques indiscriminados e ao mesmo tempo ter a capacidade de se orientar e defender rapidamente contra ataques sofisticados e direcionados de agentes de ameaças organizados com um objetivo definido e bem fundamentado.
As organizações agora podem complementar seus processos e ferramentas de SecOps existentes com recursos de análise e detecção de anomalias comportamentais que antes eram muito caros, demorados e exigiam muita mão de obra para serem implementados. Ao identificar atividades que se desviam dos padrões normais estabelecidos, a análise comportamental, juntamente com técnicas de orientação contextual, ajuda as organizações a identificar, responder e investigar ameaças antes que possam causar danos.
O que diferencia a detecção de anomalias comportamentais?
A análise comportamental não é novidade. A implementação de soluções pontuais para analisar o comportamento de sistemas individuais e casos de uso isolados, como a classificação de e-mails de phishing, tem sido uma estratégia de segurança cibernética comum e bem-sucedida por muito tempo. Mas, até recentemente, os custos e as demandas de recursos para implementar a análise comportamental em grande escala eram altos demais para a maioria das organizações.
Com a crescente disponibilidade de técnicas de IA e ML, essa barreira diminuiu significativamente. As organizações agora podem usar ferramentas baseadas em IA e ML para analisar e classificar grandes quantidades de dados, incluindo registros de atividades, uso de aplicativos e tráfego de rede, de vários sistemas e ambientes. Elas podem estabelecer uma linha de base de "atividade normal" e, em seguida, monitorar continuamente novos dados em busca de desvios dessa linha de base.
Tradicionalmente, as equipes de operações de segurança cibernética dependem de ferramentas baseadas em assinatura e regras que utilizam padrões de ataques observados anteriormente. Elas procuram evidências de atividade maliciosa em análises de dados de eventos em tempo real e dados de logs históricos coletados durante investigações pós-violação. No entanto, a natureza complexa e multivetorial dos ataques modernos e os procedimentos operacionais de adversários sofisticados tornam as técnicas estáticas de detecção e mitigação quase obsoletas.
A análise comportamental é uma alternativa importante às abordagens tradicionais. Implantada em conjunto com recursos já estabelecidos, incluindo gerenciamento de segurança e informações (SIEM) e detecção e resposta estendida (XDR), essa abordagem permite a detecção e mitigação eficientes e rápidas de ameaças modernas e legadas à infraestrutura corporativa e aos ativos da empresa.
A análise comportamental funciona identificando padrões novos e incomuns no comportamento da rede, do sistema, do agente e do usuário. Ela não se baseia em padrões de comportamento ou indicadores de ataque observados e registrados anteriormente. Em outras palavras, a detecção comportamental é projetada para detectar ameaças novas e inéditas, em vez de artefatos de ataque, o que ajuda as equipes de segurança a deixarem de responder às consequências de ataques cibernéticos e se dedicarem à prevenção e antecipação desses ataques.
Métodos baseados em assinatura versus análise comportamental
Ferramentas baseadas em assinatura ou em regras…
Procuram ameaças conhecidas (padrões, IPs/domínios maliciosos, comportamentos de malware)
São de natureza reativa (identificam ataques principalmente após a violação)
Podem não detectar ameaças internas, ataques de dia zero e outras ameaças modernas
Análise comportamental …
Procura anomalias e exceções no comportamento típico (atividade anormal do sistema, agente, usuário e da rede)
É projetada para ser proativa (detecta possíveis ataques antes ou logo após sua ocorrência)
É acessível em termos de custo, fácil de acessar e escalável graças aos avanços da IA
Vantagens em relação a outras abordagens de detecção comportamental
As organizações que adotam a análise comportamental como uma estratégia de segurança essencial desfrutam destas três vantagens em relação às abordagens anteriores:
1. Aprimoramento da detecção tradicional baseada em assinatura.
As abordagens de observabilidade baseadas em assinatura e padrão são reativas. As organizações que utilizam apenas essas técnicas se limitam a identificar perfis de ataque depois que eles forem descobertos e analisados por terceiros, na forma de assinaturas padronizadas ou indicadores de comprometimento (IOCs)
Em contrapartida, a análise comportamental é proativa. Ela procura atividades incomuns em seus estágios iniciais, encontrando indicadores de ataque (IOAs), como tentativas de phishing, atividades de rede suspeitas ou interações incomuns do usuário com sistemas e serviços Essa detecção precoce baseada em anomalias permite que as equipes de segurança cibernética se antecipem aos adversários e evitem tentativas de invasão antes que causem danos.
2. Obtenção de um ecossistema de defesa holístico e acessível.
As ferramentas tradicionais se concentram em uma visão limitada, como o sistema, o usuário ou a rede, e não incorporam o contexto. A análise comportamental, por outro lado, integra dados de diversas fontes para fornecer análises ricas em contexto. Informações contextuais internas e externas podem ajudar a garantir que nem todo o comportamento incomum seja sinalizado como malicioso. As ferramentas de análise comportamental podem determinar, dentro de graus de probabilidade especificados, se uma atividade é maliciosa ou benigna, uma vez que um modelo tenha sido treinado em um sistema ou rede.
Historicamente, esse tipo de análise rica em contexto é dispendioso para implementar. Exigia poder de computação significativo e fluxos de trabalho com muita mão de obra para armazenar, processar e analisar grandes volumes de conjuntos de dados distintos. Os avanços na engenharia de dados habilitada por IA e na correlação de eventos tornaram a análise rica em contexto muito mais acessível do que as abordagens anteriores de análises realizadas por humanos.
3. Aprimoramento da adaptabilidade a ameaças e fluxos de trabalho modernos.
Os modelos de análise comportamental aprendem continuamente e se adaptam a novas ameaças e novos fluxos de trabalho. Por exemplo, digamos que você implemente um agente de IA Com o tempo, o modelo aprenderá os comportamentos autônomos desse agente e os definirá como normais. Se o agente de IA for comprometido ou se desviar dos padrões estabelecidos de atividade permitida, o modelo detectará esse comportamento anômalo e, se apropriado, suspenderá o agente ou limitará as ações que ele pode realizar sem intervenção humana.
A detecção comportamental também leva em conta novas formas de trabalho. Por exemplo, você pode expandir seus negócios globalmente e estabelecer novas filiais em outros países. Após um período inicial de ajuste, o modelo aprenderá que os logins remotos desses locais em determinados horários não são fraudulentos, mas refletem um novo padrão normal.
Estratégias de análise de anomalias comportamentais
Muitas organizações já possuem alguns recursos de análise comportamental incorporados em plataformas de endpoints, segurança e identidade. No entanto, nem todas as equipes sabem como aproveitar ao máximo esses recursos distribuídos, e a fadiga de segurança pode resultar em falhas. As seguintes práticas recomendadas podem ajudar sua equipe a implementar e usar a detecção comportamental de forma eficaz.
1. Definir o escopo e a integração.
Se você planeja obter maior valor dos recursos existentes e dos dados gerados por seus ambientes, ou se está considerando uma nova solução, identifique primeiro os possíveis casos de uso. Por exemplo, você pode querer se concentrar na identificação de possíveis ameaças internas, na descoberta de movimento lateral ou em tentativas de exfiltração de dados. Você pode até definir seus casos de uso de forma mais específica. Por exemplo, você pode querer detectar "viagens impossíveis" quando um usuário parece fazer login na rede a partir de dois locais distantes em um intervalo de tempo irrealisticamente curto. Ou você pode querer impedir violações repetidas de prevenção contra perda de dados (DLP), quando os funcionários movem ou compartilham informações confidenciais de maneiras que violam as políticas internas de segurança.
2. Treinar e otimizar modelos.
A análise comportamental pode ser automatizada e orquestrada em diversos sistemas e pontos de imposição de segurança. Priorize o treinamento e a otimização dos modelos e integrações de IA que viabilizam essa automação. O treinamento inicial ajuda o modelo a entender o que é considerado “normal”. O ajuste e o retreinamento contínuos ajudam a acompanhar a evolução dos comportamentos de ameaças.
Você pode auxiliar e acelerar o processo de treinamento inserindo intencionalmente padrões de ataque maliciosos, em vez de esperar que o comportamento malicioso ocorra. Com o tempo, os modelos vão se basear em comportamentos aprendidos e atribuir pontuações de confiança para suas previsões de anomalias maliciosas versus benignas.
3. Aproveitar a IA para defesa avançada.
Historicamente, a análise comportamental tem se baseado em vários algoritmos de ML para avaliar e identificar anomalias. O uso de modelos de IA generativa (GenAI) ajustados e ampliados localmente juntamente com IA agêntica pode ajudar a otimizar ainda mais a detecção de anomalias em um ambiente protegido. Com esses recursos mais avançados, as soluções de análise comportamental reduzem a carga sobre os investigadores humanos, correlacionam anomalias com bases de conhecimento mais amplas e automatizam as defesas subsequentes, incluindo a capacidade de aplicar alterações de controle upstream, colocar hosts em quarentena e suspender contas de usuários.
4. Prestar atenção à interoperabilidade.
Escolha uma solução de análise comportamental que se integre com as suas ferramentas existentes. Caso contrário, você provavelmente gastará tempo e dinheiro em excesso para descartar e substituir soluções que já possui. Por exemplo, uma solução de análise comportamental deve se integrar, e complementar, os recursos de detecção e resposta existentes, incluindo ferramentas SIEM. As ferramentas SIEM tradicionais analisam eventos em tempo real, correlacionando dados de eventos de várias fontes para determinar e identificar padrões de ataque predeterminados, enquanto os sistemas SIEM modernos incluem aspectos de análise comportamental para avaliar o comportamento de usuários e dispositivos ao longo do tempo, refinando continuamente um modelo interno de referência de IOAs.
5. Antecipar falsos positivos.
Nem toda anomalia é maliciosa. No entanto, como acontece com muitas abordagens baseadas em IA, existe o risco de falsos positivos e falsos negativos. A minimização de comportamentos classificados incorretamente pode exigir alguma forma de intervenção humana, incluindo a colaboração em tempo real. Especificamente, você precisa ajustar os modelos para reduzir o ruído e aprimorar a classificação de comportamentos. Você também pode implementar fontes de correlação e enriquecimento inteligentes, específicas para o ambiente protegido e o modelo operacional de sua empresa, a fim de adicionar contexto adicional à descoberta de comportamentos maliciosos e atípicos
Lembre-se também de que os modelos precisam de tempo para se estabilizarem e se adaptarem, e exigem supervisão humana para casos complexos. O sucesso depende não apenas da tecnologia, mas também de equipes qualificadas que operam com processos bem definidos para interpretar e agir com base nos insights de detecção.
6. Definir métricas de sucesso.
Estabeleça indicadores-chave de desempenho (KPIs) para medir o valor dos investimentos em análise comportamental ao longo do tempo. Por exemplo, você pode medir o tempo para detectar tentativas iniciais de acesso e a previsão das técnicas ideais de intervenção em ataques. Outros KPIs podem medir a redução resultante no tempo de permanência para invasores ou avaliar o possível impacto de um ataque mitigado, caso tivesse sido bem-sucedido.
Você está utilizando a estratégia de detecção de anomalias correta?
As defesas tradicionais baseadas em assinaturas e regras, por si só, são insuficientes para defender contra ameaças de segurança em rápida evolução e adversários determinados. Incorporar a detecção de anomalias comportamentais em sua estratégia de operações de segurança pode ajudar a estabelecer uma abordagem mais proativa para defesas cibernéticas holísticas, detectando possíveis ameaças antes que causem danos.
A Cloudflare utiliza diversas técnicas de ML e IA para operar uma nuvem de conectividade global e fornecer serviços de ponta para organizações. A análise de comportamento de usuários e entidades (UEBA) faz parte da oferta Unified Risk Posture, um conjunto de recursos que reúne serviços de segurança na borda (SSE), soluções de segurança de aplicativos web e APIs em uma única plataforma. Incorporar recursos de detecção comportamental e pontuação de risco em uma plataforma SSE ou SASE (serviço de acesso seguro de borda) permite que você aproveite seus benefícios, reduzindo a complexidade do gerenciamento e melhorando a eficiência operacional.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Descubra estratégias para ficar à frente das ameaças mais recentes e proteger as implementações de IA no e-book Modernizar a segurança para a era da IA.
Autoria
James Todd — @jamesctodd
Field CTO, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Por que ferramentas de segurança cibernética tradicionais reativas ficam a desejar
Como a análise comportamental aprimora a detecção baseada em assinaturas
Seis melhores práticas para implementar a análise comportamental