Você está na página 1de 2

Um processo que venho aperfeioando h algum tempo, a anlise comportamental

baseada nos hbitos dos usurios atravs dos logs gerados nas diversas camadas de
segurana implementadas no ambiente. No vamos falar e nem comparar processos
e tecnologias de SIEM, BIGDATA, DLP ou SOC, vamos falar de um processo que est
relacionado diretamente ao fator humano e que pode ser estabelecido para
colaborar com a identificao e antecipao de incidentes internos, evitando risco
de imagem, violaes das polticas, parada de ambiente por disseminao de
cdigos maliciosos ou vazamento de informaes.

Hoje em dia, precisamos forar mutaes criativas nos processos existentes para
prever incidentes que podem ser causados por ameaas internas (insider threats),
antes mesmo que o incidente venha a ser concretizado.

Como funciona?

O processo de anlise comportamental dos usurios consiste em voc analisar
periodicamente os hbitos destes atravs dos dados gerados pelas ferramentas que
voc tem implementada em seu ambiente. Quanto a ferramentas e logs no
novidade, porm a forma como as configuramos e o que fazemos com os dados
gerados por elas o que se torna diferencial na preveno e identificao de
incidentes.

Independente de sua empresa ter 50, 500 ou 5.000 colaboradores, o processo dever
ser o mesmo: ler periodicamente os logs com interesse e sem pressa, interpretando-os
de forma holstica com inteligncia aplicada.

No incio parece ser difcil estabelecer parmetros para definir o processo de anlise
comportamental, ento procure implement-lo gradativamente, a melhora do
processo ser natural.

Por onde comear?

Primeiro identifique e entenda quais logs esto sendo gerados, do sistema operacional
passando pelo Webfiltering, console de Antivrus, AntiSpam, controle de dispositivos,
tudo importante. Se voc tiver um servidor de Syslog j meio caminho andado,
caso contrrio, realize o processo diretamente na respectiva ferramenta.
Nesta edio
1 Como funciona
2 Por onde comear?
3 Evidencie os fatos
4 Aprenda com os incidentes

Termos frequentemente
pesquisados podem ser o
gatilho inicial para
comearmos uma anlise
comportamental
Anlise comportamental como preveno de
incidentes de segurana da informao internos
Por Igor F. A. Gutierrez Information Security Officer | CRISC
Publicado em 12/08/2014

O fluxo abaixo especifica uma base para se estabelecer o processo.
Analise o
resultado
Identifique o
usurio
Realize a anlise
em outros sistemas
Comunique
Defina o perodo
e termos da
pesquisa
Faa o tracking
dos demais
dados
Confirme suas
credenciais
Gere o relatrio
de incidente Gere indicadores



PGINA 2 ANLISE COMPORTAMENTAL

Gerar indicadores dos
resultados da anlise
comportamental
fundamental para
direcionar seus esforos


Com os dados em mos, comece a fazer buscas baseadas em termos especficos que
representem talvez uma violao a sua PSI Poltica de Segurana da Informao,
alguma norma estabelecida ou violaes de controles aplicados. Lembrando que
este artigo no se trata de um guia how-to, sendo assim, os termos utilizados
periodicamente em suas querys sero definidos com base nas particularidades da sua
empresa.

Incidentes anteriores podem servir como base para incrementar suas querys, como
termos relacionados pornografia, tor, burlar entre outros que so utilizados na
prtica de ilcitos digitais.

Vamos ao mais interessante, logs gerados pelo Webfiltering Os logs de internet
podem revelar no s os hbitos dos usurios, mas tambm sua personalidade. O
costume de acessar determinado site, frequncia, tempo de navegao e termos
frequentemente pesquisados pode ser o gatilho inicial para comearmos uma anlise
comportamental (Tracking).

Experimente fazer uma query em seu Webfiltering com parmetros de data, do dia 1
ao dia 30 de um determinado ms e comece a pesquisar por palavras ou frases como,
por exemplo - como burlar controle de internet da empresa, ou como navegar na
internet da empresa sem ser rastreado. Tente tambm adjetivos relacionados
"pornografia. Depois de algumas querys voc vai notar que sempre um grupo de
usurios tem frequentemente as mesmas tendncias.

Por exemplo: Um usurio tenta a qualquer custo burlar as regras do webfiltering para
acessar sites de contedo pornogrfico, outro tenta acessar a internet pelo
computador da empresa usando o modem do celular, outro faz backup de arquivos
sigilosos da empresa em pendrive particular, esto sempre no TOP10 de computadores
infectados, enfim, depois de algum tempo de anlise voc ter uma lista de alguns
usurios que de fato representam uma ameaa em potencial para empresa.

Agora, com as informaes de endereo IP e ID do usurio, voc inicia uma anlise
(tracking) mais detalhada nos demais recursos tecnolgicos que cada usurio utiliza,
os resultados podem ser surpreendentes.

Evidencie os fatos

Formate um relatrio individual, imparcial e detalhado evidenciando os respectivos
incidentes, dependendo da gravidade envie o primeiro relatrio apenas para o
usurio infrator como medida de conscientizao. Tenha certeza que os resultados
sero positivos e o melhor de tudo, o infrator costuma comentar com os demais
colegas sobre o ocorrido e isto se torna um processo de conscientizao
disseminada indireto, e funciona. Caso o incidente seja grave, sua empresa j deve ter
um processo estabelecido para isto.

Alm de ajudar o colaborador a ajustar seu comportamento de acordo com as
diretrizes e polticas da empresa, este tipo de documento costuma colaborar
fortemente para angariar novos recursos para segurana da informao, e at
mesmo fazer alguns projetos andarem.

Outro fator importante no subestimar os reports de algumas ferramentas, como da
console de Antivrus e AntiSpam. Um report automatizado quando bem configurado
pode tambm ser um gatilho eficaz para iniciar uma anlise comportamental.

Aprenda com os incidentes

O resultado de todo este trabalho ajudar tambm a aprimorar os controles de
segurana j implementados e audit-los de forma mais significativa.

Alm dos recursos tecnolgicos, direcione o programa de conscientizao com base
nas lacunas identificadas pela anlise comportamental, aprimore as polticas, normas,
procedimentos, e por que no o processo de contratao da empresa.

Lembre-se de que o fator humano no pode ser reprogramado, mas sim educado!
Sendo assim para realizar a anlise comportamental temos de ter bom senso,
imparcialidade e bom juzo.
Os logs de internet podem
revelar no s os hbitos dos
usurios, mas tambm sua
personalidade

Você também pode gostar