Com o aumento progressivo das violações de dados, é natural a gente se perguntar o que deveríamos fazer que ainda não estamos fazendo. Tenho visto ultimamente mais pessoas falando sobre a análise do comportamento do usuário o que, certamente, é necessário e premente dentro de qualquer corporação que esteja interessada em manter-se longe de uma violação séria de dados.
Ao menos 75% das empresas que começaram a aplicar alguma técnica de análise de comportamento de usuário (em inglês, user behaviour analytics, ou UBA) descobriram alguma falha ou violação já em progresso. Quantas ainda não foram descobertas? Pior de tudo: elas são mais frequentes do que imaginamos.
O UBA utiliza técnicas de Big Data para mapear o comportamento do usuário interno e, assim, detectar qualquer anomalia. Basicamente o sistema primeiro identifica as atividades consideradas "normais", para depois, identificar desvios no padrão de comportamento. A maior diferença desta tecnologia é o foco no usuário – ou seja, a questão imposta é se o usuário está agindo dentro do esperado, e não se um determinado evento está ou não dentro da rotina.
O UBA tem se tornado cada vez mais uma peça-chave na estratégia da Segurança da Informação – de fato, é mais uma forma descobrir violações praticadas por usuários internos, ou usuários externos usando credenciais internas para originar a violação. Entretanto, para implementar e fazer funcionar de forma efetiva o UBA é preciso ter um registro detalhado do comportamento do usuário interno. Infelizmente, poucas empresas fazem isso de forma efetiva, e menos ainda analisam essa informação como deveriam.
Uma pesquisa realizada pelo Instituto Ponemon, dos Estados Unidos, encomendada pela Varonis, mostrou que somente 22% dos empregados em uma empresa sabem dizer o que aconteceu com informações que foram perdidas, sejam elas arquivos ou emails. Isso significa que essas pessoas não sabem quem está abrindo esses arquivos, reenviando-os, criando-os ou lendo-os.
Ou seja, fazer a análise do comportamento dos usuários internos sem saber como ou quando os usuários podem acessar os dados corporativos é equivalente a tentar criar uma estratégia antifraude sem checar o histórico de transações de forma apropriada. Ou seja, é impossível, além de absurdo.
Se você quer proteger seus dados você precisa primeiro observar o dia a dia, estabelecer qual é o comportamento considerado "normal" para cada usuário para, então, tentar identificar o que sai da normalidade. Isso não significa que você não possa fazer uma boa análise de dados a partir dos dados de login da VPN, endereço IP, consumo de banda – quanto mais pontos de dados você tem, mais completa será sua informação. Apenas não se esqueça de se perguntar quem realmente está utilizando a informação da sua empresa.
Carlos Rodrigues, country manager da Varonis.
