User Behavior Analytics: Melhores práticas que você deve iniciar agora

Quanto você sabe sobre User Behavior Analytics (UBA), solução emergente que ajuda a detectar atividades maliciosas e abusivas internas em crescimento em todo o ambiente de TI que, de outra forma, podem passar despercebidas?

Este artigo detalha os principais desafios para proteger os ativos mais críticos dentro da sua infraestrutura de TI e oferece as melhores práticas para a implementação bem-sucedida de UBA.

Desafios para a segurança do ambiente de TI moderno:

• As empresas não têm visibilidade sobre as atividades dos funcionários e o uso de aplicativos em sistemas de TI críticos. Confira nossas infográficas recentes sobre shadow IT.
• Estratégias de defesa legadas geralmente se concentram no perímetro, então elas falham em identificar ameaças internas ou ataques em andamento dentro da rede.
• As equipes de segurança muitas vezes ficam sobrecarregadas pelo enorme volume de registros de auditoria gerados todos os dias, aumentando o risco de que ações importantes possam ser perdidas.
• A maioria das aplicações de segurança legadas, como soluções SIEM, consomem muito tempo para serem utilizadas.

Melhores práticas:

1. Identifique as fontes existentes de dados sobre o comportamento do usuário, incluindo logs, armazéns de dados, fluxo de dados de rede, etc. Quanto mais dados você tiver, melhor.

2. Integre dados de outros sistemas de monitoramento, como gerenciamento de ameaças avançadas e sistemas de gestão de relacionamento com o cliente (CRM).

3. Ative a auditoria do Active Directory para rastrear quem está fazendo o quê nos seus sistemas críticos.

4. Ative a auditoria para todos os sistemas que contêm informações sensíveis, incluindo seus servidores de arquivos, SharePoint, servidores SQL, etc.

5. Se você estiver usando aplicativos SaaS, habilite o registro de acesso e atividade do usuário.

6. Monitore a criação de contas e os acessos a contas, pois essas atividades podem revelar apropriações indevidas de contas e outros ataques.

7. Ative o registro em diário no seu servidor de e-mail e utilize software de e-discovery para análise do fluxo de e-mails.

8. Revise regularmente as permissões efetivas e aplique um modelo de menor privilégio.

9. Monitore e controle o tráfego de internet dos seus usuários por meio de software de filtragem web.

10. Forneça à sua solução UBA todos os dados mencionados acima. Ajuste suas regras, alertas, relatórios e limiares para reduzir ruídos e anomalias falsas-positivas.

11. Reveja os relatórios de UBA sobre atividades anômalas regularmente e investigue incidentes prontamente.

Esta funcionalidade de security analytics ajuda você a descobrir ameaças que podem comprometer seu ambiente de TI em nuvem híbrida, para que você possa proteger os ativos mais importantes.

Na nossa edição de julho da SysAdmin Magazine, nossos especialistas oferecem as melhores práticas para profissionais de TI sobre como identificar o potencial perigo das ameaças internas. Você pode baixá-la aqui gratuitamente.