O que são técnicas de análise comportamental?


As técnicas de análise comportamental usam aprendizado de máquina, inteligência artificial, Big Data e técnicas de análise para identificar o comportamento malicioso ao analisar as diferenças nas atividades normais do dia a dia.

Definição de análise comportamental
Os ataques maliciosos têm um ponto em comum: todos eles se comportam de maneira diferente do comportamento normal do dia a dia em um sistema ou rede. Geralmente, as empresas conseguem identificar comportamentos maliciosos por meio de assinaturas que estão diretamente relacionadas a determinados tipos de ataques conhecidos. No entanto, à medida que os invasores ficam mais sofisticados, eles desenvolvem continuamente novas táticas, técnicas e procedimentos (TTPs, pela sigla em inglês) que lhes permitem não apenas entrar em ambientes vulneráveis, mas também se mover lateralmente sem serem detectados.

É aqui que a microssegmentação entra em ação. Agora, com a ajuda de grandes volumes de dados de endpoint não filtrados, a equipe de segurança pode usar ferramentas com base em comportamento, algoritmos e aprendizado de máquina para determinar qual é ou não o comportamento normal dos usuários diariamente. A análise comportamental pode identificar eventos, tendências e padrões, atuais e históricos, que estão fora dos parâmetros das normas diárias.

Ao concentrar-se nessas anomalias, as equipes de segurança podem obter visibilidade e identificar táticas comportamentais inesperadas dos invasores desde o início, antes que eles executem totalmente seu plano de ataque. A análise comportamental também pode ajudar a descobrir as causas principais e fornecer informações para identificação e previsão futuras de ataques similares.

Quais comportamentos revelam atividades nefastas?

Sincronização incomum de eventos, sequências anormais de ações ou aumento da movimentação de dados são apenas algumas indicações de atividade maliciosa em um ambiente. Veja a seguir alguns exemplos específicos de comportamentos não tão normais que podem levar à identificação de um ataque em curso.

  • Um link em um arquivo de aparência legítima é carregado na memória; em seguida, ele carrega remotamente um script, que buscará dados confidenciais que são enviados de volta ao invasor.

  • O código malicioso é injetado em aplicativos já instalados, como Microsoft Word, Flash, Adobe PDF Reader, um navegador da web ou JavaScript, para direcionar vulnerabilidades e, em seguida, executar o código malicioso.

  • Ferramentas nativas do sistema, como Microsoft Windows Management Instrumentation (WMI, pela sigla em inglês), e as linguagens de script do Microsoft PowerShell, que normalmente seriam consideradas altamente confiáveis, são direcionadas para que os scripts sejam executados remotamente.

Industry Pulse: agora, a análise comportamental é um requisito obrigatório

No início de 2016, o SANS Institute reconheceu a importância da análise comportamental em um white paper, Using Analytics to Predict Future Attacks and Breaches. O autor conclui: "Aproveitar as plataformas de análise de dados mais avançadas para receber tipos de dados mais diversificados, com foco em maior visibilidade das ameaças de rede, e automatizar ações de detecção e resposta pode ajudar as equipes de segurança agora e no futuro, à medida que elas evoluem para enfrentar esses desafios".

Bem, o futuro chegou e, em 2018, a análise comportamental é essencialmente um requisito de linha de base para a segurança avançada de endpoints. Na verdade, em seu relatório Magic Quadrant for Endpoint Protection Platform, o Gartner considera o aprendizado de máquina e o monitoramento de comportamento como pontos fortes de visionários e líderes. O relatório também observa que "Os fornecedores mais visionários e líderes em 2018 e 2019 serão aqueles que usam os dados coletados em seus recursos [de Endpoint Detection and Response] para fornecer orientação e aconselhamento acionáveis feitos sob medida para seus clientes".

17% das violações em 2017 foram causadas por erro humano (em oposição à intenção maliciosa deliberada).

A resposta: observe a nuvem

Para tirar total proveito das técnicas de análise comportamental, as empresas devem utilizar a nuvem e seu imenso poder computacional, dimensionamento ilimitado e facilidade de gerenciamento. A nuvem oferece um enfoque proativo que combina Big Data com técnicas de análise avançadas para ajudar a superar os ataques emergentes mais recentes e ameaçadores.

Por exemplo, a nuvem permite análise de transmissões, em que a atividade normal e anormal do endpoint pode ser monitorada e comparada a quaisquer dados históricos não filtrados do endpoint. Ao analisar esses fluxos de eventos e compará-los com o que parece normal, a nuvem cria um sistema de monitoramento de ameaças globais que, não apenas detecta ataques, mas prevê aqueles que nunca foram vistos antes.

Esse enfoque avançado simplesmente não é possível com soluções AV tradicionais, que baseiam-se em assinaturas, mas é possível com software antivírus de última geração (NGAV, pela sigla em inglês).

O NGAV na nuvem oferece comunicação bidirecional com endpoints, de modo que todos os dados não filtrados do endpoint possam ser monitorados e transformados em técnicas de análise preditivas que protegem proativamente as empresas contra ataques sofisticados.

Além disso, a nuvem oferece os benefícios de infraestrutura que a maioria das empresas já experimenta com outros softwares corporativos: operações simplificadas e mais baratas, implantação mais rápida e a tecnologia mais recente e inovadora.

Produtos, soluções e recursos da VMware relacionados a técnicas de análise de Big Data

Proteja seus aplicativos e dados com a segurança intrínseca

Um novo enfoque de segurança: a segurança intrínseca é um enfoque totalmente diferente de proteção dos seus negócios.

VMware NSX Service-defined Firewall

Conte com um firewall interno com estado, distribuído, de camada 7 e integrado ao NSX para proteger o tráfego do data center em cargas de trabalho virtuais, físicas, em contêineres e na nuvem.

Plataforma de espaço de trabalho digital moderna

Forneça e gerencie qualquer aplicativo em qualquer dispositivo, de forma simples e segura, com o VMware Workspace ONE, uma plataforma de espaço de trabalho digital orientada por inteligência.