O que é Machine Learning 

O Machine Learning é um método de análise de dados que usa determinadas regras e algoritmos para encontrar informações relevantes de uma máquina ou usuário em meio a uma grande quantidade de dados, entendendo o seu comportamento. É uma forma automatizada de os sistemas aprenderem os dados, identificar padrões, fazer associações de diferentes dados e tomar decisões através de modelos analíticos.

Por que é importante? 

Está cada vez mais comum a diversidade de ameaças em um ambiente tecnológico, se alterando numa velocidade assustadora. Além disso, devemos considerar a exposição que temos nesse mundo digital: quanto mais expostos, mais vulneráveis. Entende-se que hoje não basta ter um bom Firewall, um bom Antivírus, AntiSpam, etc.; devemos contar com recursos e sistemas que integram essas soluções a fim de uma melhor visibilidade do ambiente, tomar ações rápidas e preventivas para a manutenção de um ambiente seguro.

Existem alguns fatores que tornam o aprendizado de máquina (ML) indispensável. É muito comum encontrar usuários que tiveram um crescente volume e variedade de dados disponíveis na internet, máquinas com processamento computacional poderoso e bastante espaço para armazenamento, o que é um ‘prato cheio’ para mineração de dados, por exemplo.

Considerando uma organização com vários usuários que acessam sistemas, internet, compartilham informações etc., o ambiente se torna propício aos erros e vulnerabilidades. Provavelmente as organizações contam com ferramentas de segurança para realizar as devidas mitigações, porém se algo fora do padrão ocorrer, como detectar e tratar isso? Com o aprendizado de máquina (ML) se tem um histórico de um usuário ou estação, trazendo melhor visibilidade do que é padrão e anomalias.

O aprendizado de máquina (ML) se consolida pela sua velocidade e consistência no resultado dos dados, tomando ações de forma automática e/ou informando o time de segurança que tem algo “estranho” no ambiente.

Tudo isso significa que é possível produzir, de forma rápida e automática, modelos capazes de analisar dados maiores e mais complexos, e entregar resultados mais rápidos e precisos, mesmo em grande escala. E ao construir modelos precisos, uma organização tem mais chances de identificar oportunidades lucrativas e/ou de evitar riscos desconhecidos.

Como o IBM Qradar pode ajudar 

Agora você pode estar convencido da necessidade do Machine Learning e se pergunta como implementar em sua organização. Existem algumas ferramentas de segurança que disponibilizam esse recurso, como por exemplo um Sistema de Gerenciamento e Correlação de Eventos de Segurança (SIEM). O IBM Qradar conta um componente muito eficaz de aprendizado de máquina (ML):

UBA

Como um componente integrado do QRadar, o UBA alavanca regras comportamentais prontas para uso e modelos de aprendizado de máquina (ML) para adicionar contexto de usuário aos dados de rede, log, vulnerabilidade e ameaças para detectar ataques com mais rapidez e precisão.

O aplicativo User Behavior Analytics (UBA), ajuda a determinar os perfis de risco dos usuários dentro de sua rede e a executar ações quando o aplicativo alerta sobre comportamento ameaçador. Considerando os dados existentes em seu QRadar para gerar novos insights sobre usuários e risco. O UBA adiciona duas funções principais ao QRadar: Perfil de risco e Identidades de usuário unificadas.

O perfil de risco leva em consideração diferentes casos de uso de segurança, que podem incluir regras e verificações simples, indo desde acesso à sites ruins à análises mais avançadas que usam aprendizado de máquina (Machine Learning). O risco é atribuído a cada um dependendo da gravidade e confiabilidade do incidente detectado. O UBA usa o evento existente e fluxo de dados do QRadar para gerar esses insights e riscos de perfil de usuários.

O UBA usa 3 tipos de tráfego que ajudam na identificação de um perfil de risco:

• Tráfego em torno de acesso, autenticação e alterações de conta;
• Comportamento do usuário na rede e dispositivos como: Proxy, Firewall, IPS e VPNs;
• Logs de endpoint e aplicação, como do Windows ou Linux, e aplicações SaaS.

A unificação de identidades de usuário é realizada combinando contas distintas para um usuário no QRadar. Ao importar dados de um Active Directory, servidor LDAP, tabela de referência ou arquivo CSV, o UBA pode aprender quais contas pertencem a uma identidade de usuário. Isso ajuda a combinar risco e tráfego entre os diferentes nomes de usuário no UBA.

ML

O Machine Learning do Qradar é uma ferramenta complementar para análises do UBA. Ele permite casos de uso mais específicos e aprofundados que realizam a criação de perfil. O ML (Machine Learning) adiciona visualizações ao UBA que mostram o comportamento aprendido (modelos), o comportamento atual e alertas.

É possível visualizar gráficos com dados de atividade de acesso, atividade agregada, autenticação, atividade suspeita, postura de risco, etc.

Além de entender o comportamento do ambiente, através dessas ferramentas se detecta possíveis ameaças, identifica o autor, auxilia na contenção e resolução.

Como a Redbelt Security pode ajudar 

Além de contar com a inteligência do UBA e ML do Qradar, existe a expertise, base de conhecimento e ação preditiva do time de SOC para analisar esses eventos, determinar a criticidade, avaliar o impacto e classificar corretamente os alertas. Eliminando cada vez mais falsos-positivos, evitando poluição do monitoramento, mantendo as ofensas e alarmes próximos da realidade. Contribuímos para uma visão mais limpa, como também executamos ações e tratativa assertivas sobre ameaças reais.