A tecnologia de Análise Baseada em Usuário (ABU), presente no mercado há algum tempo, pode ajudar na prevenção de grandes violações

Parece que toda semana há uma nova violação de segurança em órgãos de governo ou no setor privado. Nem mesmo os times de beisebol escapam, como prova o recente, o mundo presenciou vazamento de dados do Houston Astros.

Com frequência, o foco após esses ataques passa a ser a demissão do responsável pela segurança. Entretanto, a tecnologia de Análise Baseada em Usuário (ABU), presente no mercado há algum tempo, pode ajudar na prevenção dessas grandes violações.

A ABU não é adotada em larga escala porque as empresas e seus departamentos de TI se convenceram de que segurança perimétrica é uma fantasia que já deixou de funcionar, se é que algum dia o fez.

Do número de empresas que alegam ter implementado a solução, 75% disseram ter identificado uma violação em progresso, o que nos leva a ponderar quantos ataques deixam de serem pegos porque as companhias em questão decidiram não aplicar a tecnologia e tal abordagem.

Quando grandes ataques chegam ao conhecimento público, é comum que as pessoas ajam como se fossem eventos isolados. Ao contrário das coisas materiais, o roubo de dados costuma ser feito por meio de cópias, dando a falsa impressão de que quase nada (de valor) foi perdido.

É preciso instituir a mentalidade de que se uma pessoa conseguiu roubar dados de uma empresa, então outras podem ter feito o mesmo, ainda que saibamos de uma única ocorrência. Fato é que poderia haver centenas de eventos similares onde os ladrões não fizeram nada errado a ponto de serem pegos e não compartilharam seu êxito publicamente.

Vamos analisar a causa real por trás das crescentes violações de segurança, compreendendo que as empresas não estão nem perto de serem seguras.

Você já foi violado

É compreensível que as companhias se julguem seguras após gastarem rios de dinheiro em segurança, mesmo quando confrontadas com evidências substanciais de empregados irresponsáveis, pontos de acesso, fornecedores, outtasking, funcionários temporários, vírus, políticas de BYOD comprometidas, entre outros fatores problemáticos.

Pessoas e eventos criam potenciais caminhos livres para a circulação da informação o tempo todo. As condições para que os dados sejam levados para fora da empresa são geradas diariamente, na maioria dos casos sem autorização.

Essas áreas de potencial violação se multiplicarão conforme a Internet das Coisas se populariza. Nós nos cercaremos de pequenos dispositivos transmitindo dados a respeito de vários aspectos da vida humana pelas paredes, podendo atuar como pontes para indivíduos que desejam invadir virtualmente as organizações.

Mas entre afirmar isso e entender o que de fato significa há uma diferença. Uma vez compreendido o risco constante corrido pelas companhias o tempo todo sem muito o que fazer para evitá-lo, as preocupações com segurança dão lugar a estratégias para apenhar os agressores.

Análise baseada no usuário

Na maioria dos casos, os ataques se dão por meio de credenciais legítimas, isto é, um funcionário mal-intencionado ou alguém usando a identificação de outra pessoa está por trás dos roubos.

A ABU se baseia na teoria segundo a qual um agressor costuma atacar quando o funcionário com as credenciais roubadas não está presente ou, caso ele próprio seja o responsável, ao agir de forma incomum, como permanecer no trabalho após o expediente quando isso não é um hábito,fazendo download e imprimindo coisas estranhas (como identificações e senhas) ou demonstrando interesse súbito em coisas com as quais não costumava se importar.

A solução constrói um perfil de cada empregado, mandando um alerta caso perceba um comportamento incomum. A tecnologia não conhece os motivos por trás da estranheza (ela pode, afinal, ser legítima), mas reconhece coisas suspeitas.

Após receber o alerta imediato, a organização de TI e/ou equipe de segurança deve escolher entre confrontar o empregado ou usar uma ferramenta como o SIEM (Security Information and Event Management) para determinar o que está acontecendo e se há ou não um crime em progresso.

Medidas simples como checar as câmeras de segurança para ter certeza de que é de fato o funcionário e não alguém da manutenção ou outra pessoa usando suas credenciais para obter acesso podem ser suficientes, mas o acesso deve ser suspenso até que a identidade do funcionário seja confirmada. Em caso de vazamento, essa providência o minimiza.

Dois tipos de empresas

Anos atrás, a firma de segurança Kaspersky indicou a existência de dois tipos de empresas: as que tiveram sua segurança violada e as que não sabem que já foram atacadas. O alto índice de violações reportadas em empresas usando um produto ABU impressiona, mas isso pode ser explicado com a tese da provedora, segundo a qual as que não aplicaram a solução e apresentam índices menores provavelmente caem na segunda categoria.

Caso você deseja permanecer no escuro em relação à segurança dos seus dados corporativos, não use ferramentas de Análise Baseada em Usuário. Mas, caso de fato queira apanhar as pessoas que roubam da sua empresa, talvez seja a hora de agir.

Artigos relacionados
Kaspersky descobre ataques em banco europeu Foram roubados mais de meio milhão de dólares de contas bancárias27 de Junho de 2014Criminosos virtuais roubaram, n...
Leia Mais [+]
Felipe Dreher // sexta, 27/06/2014 16:19Seguem as mudanças no corpo de diretores da subsidiária brasileira da McAfee: Tim Hankins não responde mais como country...
Leia Mais [+]
De acordo com uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 21% dos internautas dizem que suas senhas não têm nenhum valor para os crimino...
Leia Mais [+]