De acordo com a Wikipedia, a “observabilidade” tem origem na teoria de controle, que mede a capacidade de determinar o estado de um sistema a partir de suas saídas.
Da mesma forma, no software, a observabilidade refere-se a quão bem podemos entender o estado de um sistema a partir da telemetria obtida, incluindo métricas, registros, rastreamentos e perfis.
A visibilidade e o monitoramento atuais carecem de inteligência comportamental
O monitoramento tradicional é comumente empregado para monitorar visualmente e identificar problemas relacionados a aplicativos, redes e endpoints no que diz respeito a desempenho, integridade, experiência do usuário, segurança e resiliência.
Os alertas são combinados com o monitoramento para notificar prontamente os eventos críticos por meio de e-mails, SMS e painéis de controle.
Esse monitoramento convencional, usado por APMs, NPMs e SIEMs, opera com “incógnitas conhecidas”, em que os riscos são conhecidos antecipadamente, mas o tempo de ocorrência específico permanece desconhecido.
Esse tipo de monitoramento é suficiente para sistemas simples com um número limitado de entidades, em que a solução de problemas é direta e evidente.
No entanto, os sistemas empresariais tornaram-se mais complexos com o advento de várias arquiteturas, como aplicativos distribuídos, implementações em várias nuvens, computação de borda e aplicativos de colaboração com vários parceiros.
Além disso, a expansão da superfície de ataque associada a essas arquiteturas tornou inadequado o monitoramento tradicional e a correlação mais simples.
Abordar apenas as “incógnitas conhecidas” é insuficiente.
As plataformas de observabilidade dão um salto à frente, identificando riscos inesperados que não foram considerados anteriormente.
Essas plataformas foram projetadas para lidar com “incógnitas desconhecidas” e oferecer sistemas de solução de problemas e depuração mais rápidos e precisos, fornecendo visibilidade profunda de seu desempenho, integridade, segurança e comportamento.
Esta postagem se concentra na observabilidade obtida de forma ideal por meio de entradas coletadas dos componentes de rede e segurança do SASE (Secure Access Service Edge).
Especificamente, exploramos casos de uso de observabilidade relacionados a anomalias comportamentais para identificar comportamentos anômalos de usuários, redes, entidades de aplicativos e acesso à Internet.
As plataformas de observabilidade dependem muito da qualidade dos dados de entrada que recebem.
Nesse contexto, analisamos como as soluções SASE oferecem dados valiosos na forma de registros, métricas e rastreamentos e como os sistemas de observabilidade podem aproveitar esses dados para atender a vários casos de uso.
Ao aproveitar os insights das soluções SASE, as soluções de observabilidade podem aprimorar seus recursos, resultando em monitoramento aprimorado, detecção proativa de riscos e análise robusta do sistema.
A combinação de SASE e observabilidade fornece uma estrutura poderosa para monitorar e proteger os sistemas empresariais modernos de forma eficaz.
SIEM, NPM, NDR, APM, XDR – a detecção de anomalias é limitada
No cenário atual, há várias ferramentas de visibilidade e monitoramento disponíveis, cada uma delas competente em suas respectivas funcionalidades.
No entanto, elas têm certas limitações, principalmente em relação à detecção de anomalias com base no comportamento e à correlação limitada de eventos, o que prejudica sua capacidade de fornecer visibilidade profunda e análise da causa raiz.
Nossa perspectiva é que essas ferramentas devem, eventualmente, abranger a análise comportamental/análise preditiva e uma visibilidade mais profunda, atendendo aos requisitos dos sistemas de desempenho, segurança e resiliência.
Para atingir a integridade, a inclusão da funcionalidade User and Entity Behavioral Analytics (UEBA) é fundamental para essas ferramentas.
Além disso, acreditamos firmemente que a observabilidade bem-sucedida exige recursos de correlação aprimorados.
Para obter uma correlação melhor, são necessários dados relevantes de dispositivos de rede, dispositivos de segurança, sistemas de identidade e infraestruturas de aplicativos.
No entanto, obter essas informações de forma consistente entre dispositivos e sistemas de diferentes fornecedores representa um desafio devido às variações no conteúdo do registro, nas métricas e nos esquemas e formatos de registro.
O maior desafio é a inconsistência e a falta de informações necessárias para uma análise abrangente.
O SASE unificado, que unifica várias funções de rede e segurança de um único fornecedor em uma arquitetura coesa, pode aliviar a carga dessas ferramentas em relação à correlação e à análise comportamental – falaremos mais sobre isso nas próximas seções.
Vamos nos aprofundar no UEBA e explorar o tipo de logs e métricas esperados do plano de dados do SASE unificado.
Análise comportamental de usuários e entidades
O setor de segurança cibernética cunhou o termo “Análise do comportamento de usuários e entidades” (UEBA).
Ele se refere ao monitoramento e à análise do comportamento de usuários (como funcionários, contratados e parceiros) e entidades (como dispositivos, aplicativos e redes) na rede de uma organização para detectar atividades anômalas ou suspeitas.
Em geral, as soluções UEBA usam técnicas avançadas de análise e aprendizado de máquina (IA/ML) para estabelecer uma linha de base de comportamento normal para cada usuário e entidade.
Depois que a linha de base é estabelecida, o sistema compara continuamente o comportamento em tempo real com essa linha de base para detectar desvios ou anomalias que possam indicar possíveis ameaças à segurança ou atividades anormais.
Também é importante observar que a linha de base continua mudando com o tempo, daí a necessidade de atualizar a linha de base e o correspondente treinamento contínuo do modelo.
O objetivo do UEBA é identificar padrões ou comportamentos incomuns que podem passar despercebidos pelas medidas de segurança tradicionais, ajudando as organizações a detectar ameaças internas, contas comprometidas, acesso não autorizado e outras atividades suspeitas.
Ao analisar o comportamento, a UEBA fornece contexto e insights adicionais sobre possíveis incidentes de segurança, permitindo que as equipes de segurança respondam de forma rápida e eficaz.
Embora a UEBA seja definida no contexto da segurança cibernética, a detecção de anomalias de comportamento não se limita à segurança cibernética, mas se aplica a aspectos de desempenho de entidades, como aplicativos e redes.
Algumas pessoas do setor dizem, e eu concordo, que a realização da ZTA (Zero Trust Architecture, Arquitetura de Confiança Zero), seja com tecnologias de service mesh ou SASE, só estará completa se incluírem a UEBA em sua oferta.
Como a UEBA fala sobre anomalias, vamos primeiro entender o termo “detecção de anomalias”, os diferentes tipos de anomalias e as técnicas usadas para detectar anomalias.
Detecção de anomalias para segurança cibernética
Esta publicação do blog, What Is Anomaly Detection? fornece uma excelente visão geral da detecção de anomalias.
Em termos simples, a detecção de anomalias envolve a identificação de pontos ou padrões incomuns em um conjunto de dados.
Qualquer coisa que se desvie de uma linha de base estabelecida dentro de uma tolerância predefinida é considerada uma anomalia.
Embora as anomalias possam ser benignas e preocupantes, a detecção de anomalias mal-intencionadas é fundamental no setor de segurança cibernética.
A detecção não supervisionada de anomalias é particularmente importante para a segurança cibernética, pois ajuda a identificar eventos não vistos anteriormente sem depender de conhecimento prévio.
Em outras palavras, essa abordagem não supervisionada é essencial para a detecção de “incógnitas desconhecidas” no contexto de ameaças à segurança.
A detecção de anomalias pode ser abordada por meio de várias técnicas, às vezes utilizando ferramentas estatísticas e outras vezes exigindo algoritmos de aprendizado de máquina.
Dois tipos populares de algoritmos de aprendizado de máquina usados para detecção de anomalias são:
- Agrupamento: O clustering é uma técnica que agrupa pontos de dados com base em sua similaridade ou distância.
As anomalias podem ser identificadas no clustering por meio da detecção de pontos de dados que não pertencem a nenhum cluster ou que estão significativamente distantes do centro do cluster mais próximo.
Exemplos de algoritmos de clustering incluem o K-means. - Estimativa de densidade: A estimativa de densidade é uma técnica que estima a distribuição de probabilidade dos dados.
As anomalias podem ser detectadas usando a estimativa de densidade ao encontrar pontos de dados com baixa densidade de probabilidade ou que residam em regiões de baixa densidade.
Os algoritmos comuns de estimativa de densidade incluem Isolation Forest, Kernel Density Estimation e outros.
Não abordaremos a análise descritiva aqui, pois muitos sistemas de monitoramento já a suportam.
O foco principal aqui é a análise de comportamento, um ramo da análise preditiva.
Conforme mencionado, a detecção de anomalias é relevante para a segurança cibernética e, portanto, abordaremos as detecções de anomalias aqui.
Alguns exemplos de detecções de anomalias podem ajudar a entender o tipo de informação esperada das soluções SASE, especialmente a análise de comportamento de usuários e entidades (UEBA) e a observabilidade em geral.
Nas seções a seguir, apresentaremos as detecções de anomalias necessárias para o setor de segurança cibernética e redes.
Conforme mencionado anteriormente, também é importante ter um sistema genérico de detecção de anomalias com vários recursos para identificar quaisquer tipos de detecção que não sejam conhecidos de antemão.
Uma consideração importante para identificar tipos de detecção desconhecidos é que os logs de entrada e os dados de métricas devem ser abrangentes. Aqui estão alguns exemplos de detecções de anomalias:Anomalias de comportamento do usuário:
- Usuários que acessam aplicativos da Internet, SaaS e corporativos de locais diferentes de seus padrões normais.
- Usuários que acessam serviços em horários incomuns em comparação com seus padrões de uso regulares.
- Usuários acessando aplicativos de vários locais em um curto espaço de tempo, o que parece implausível.
- Usuários que acessam serviços por meio de proxies anônimos, o que gera preocupações com a segurança.
- Usuários que acessam serviços de endereços IP suspeitos que podem estar associados a atividades maliciosas.
- Usuários que acessam domínios ou URLs suspeitos, indicando possíveis ameaças à segurança.
- Usuários que apresentam comportamento incomum de download/upload de arquivos, o que justifica atenção.
- Usuários que exibem acesso atípico a aplicativos, sites da Internet ou aplicativos SaaS.
Atividade incomum do usuário:
- Número incomum de entradas de um usuário, o que pode indicar credenciais comprometidas ou tentativas de acesso não autorizadas.
- Número incomum de falhas de login, sugerindo possíveis ataques de força bruta ou problemas de autenticação.
- Acesso incomum a vários URIs de aplicativos que podem exigir uma investigação mais aprofundada.
- Número incomum de túneis VPN de acesso remoto de um determinado usuário ou globalmente entre usuários.
Anomalias de acesso a aplicativos:
- Acesso a aplicativos por usuários desconhecidos, exigindo a verificação de sua legitimidade.
- Acesso incomum a diferentes seções ou espaços dentro dos aplicativos pelos usuários.
- Downloads/uploads incomuns de dados pelos usuários, indicando potencialmente exfiltração de dados ou transferências não autorizadas de dados.
- Acesso incomum a partir de locais não vistos anteriormente, o que pode gerar preocupações de segurança.
- Acesso incomum a aplicativos em horários inesperados por usuários ou usuários específicos, o que justifica uma investigação.
- Acesso incomum de ISPs nunca antes visto, o que pode ser indicativo de atividades suspeitas.
- Detecção de cabeçalhos de solicitação HTTP incomuns durante o acesso a recursos de aplicativos.
- Detecção de comprimentos anormais de URI ao acessar recursos de aplicativos.
- Uso incomum de diferentes agentes de usuário que podem estar vinculados a intenções mal-intencionadas.
- Latência incomum de transações no nível HTTP.
Anomalias de rede: Observe que a Internet é considerada uma das redes.
- Anomalias na quantidade de tráfego de entrada, tráfego de saída ou seus valores combinados em uma determinada rede.
- Anomalias na quantidade de tráfego para diferentes conjuntos de protocolos.
- Anomalias no número de conexões com recursos na rede.
- Anomalias no número de transações para recursos na rede.
- Anomalias no número de transações por conexão.
- Anomalias na latência durante o acesso a recursos na rede.
- Anomalias no tráfego entre as redes.
Anomalias de ameaças:
- Anomalias no número de sessões para endereços IP suspeitos, indicando possíveis tentativas de comunicação com entidades mal-intencionadas.
- Anomalias no número de sessões para nomes de domínios suspeitos, o que pode significar contato com domínios não confiáveis ou comprometidos.
- Anomalias no número de sessões para URLs suspeitos, apontando para possíveis ameaças no tráfego da Web.
- Anomalias no número de downloads/uploads de arquivos infectados por malware, destacando possíveis ataques cibernéticos.
- Anomalias no número de sessões de serviços de SaaS e de nuvem não autorizados ou mal-intencionados.
- Anomalias no número de sessões que foram negadas, indicando potencialmente medidas de segurança em funcionamento.
- Anomalias no número de transações que foram negadas, sugerindo possíveis ameaças à segurança ou atividades fraudulentas.
As plataformas de observabilidade com UEBA tendem a fornecer as detecções acima.
Um modelo genérico de agrupamento pode ser empregado para riscos desconhecidos a fim de detectar quaisquer novas anormalidades que devam ser monitoradas.
Esse modelo genérico deve incorporar vários recursos.
Como a maioria das anomalias listadas acima exige dados de linha de base para identificar as anomalias com precisão, é fundamental que as plataformas de observabilidade permitam o modo de aprendizagem.
Às vezes, o aprendizado pode ser dinâmico, permitindo que a configuração verifique as anomalias do dia atual com base no último número X de dias de dados.
Considerando que vários modelos podem ser necessários, as plataformas de observabilidade precisam ser dimensionáveis e capazes de lidar com a carga para treinar e acomodar vários modelos.
Inteligência sobre ameaças com precisão
A detecção precisa de anomalias de ameaças comportamentais depende de informações atualizadas dos provedores de inteligência contra ameaças.
Embora os sistemas SASE realizem a detecção inicial de ameaças no momento do tráfego, a inteligência sobre ameaças coletada nesse momento pode ficar desatualizada.
Os provedores de inteligência contra ameaças avaliam continuamente a pontuação de reputação de endereços IP, nomes de domínio, URLs, arquivos e serviços SaaS e atualizam seus feeds com as informações mais recentes.
No entanto, isso pode resultar em um intervalo de tempo entre o surgimento de ameaças reais e a atualização dos feeds de inteligência contra ameaças.
Consequentemente, quaisquer conexões ou transações que ocorram antes dessas atualizações de feeds podem fazer com que o plano de dados não tenha a classificação correta do tráfego.
Para enfrentar esse desafio, as plataformas de observabilidade baseadas em UEBA examinam proativamente os acessos anteriores de forma contínua e aprimoram os dados com novas informações sobre ameaças.
Em seguida, essas plataformas informam as equipes de caça a ameaças de TI sobre as mudanças na inteligência, permitindo que os caçadores de ameaças se aprofundem nas ameaças em potencial.
O SASE unificado agrega logs, métricas e rastreamentos com precisão
A abrangência e a precisão de qualquer análise, inclusive descritiva, preditiva, diagnóstica e prescritiva, dependem muito da qualidade dos registros recebidos pela plataforma de observabilidade.
É nesse ponto que as soluções Unified SASE realmente se destacam.
As plataformas tradicionais de observabilidade dependem de logs e métricas de vários sistemas de fornecedores, como dispositivos de firewall, dispositivos UTM, aplicativos, serviços de identidade, firewalls de aplicativos da Web, sistemas IDS/IPS, sistemas de segurança de DNS e outros.
No entanto, o gerenciamento de logs de vários fornecedores apresenta vários desafios:
- Informações insuficientes nos registros.
- Diferentes formatos/esquemas de registro.
- Alterações constantes das mensagens de registro e do formato pelos fornecedores.
- Dificuldade em correlacionar consistentemente os logs de dispositivos de rede/segurança a sessões de tráfego, usuários ou aplicativos específicos.
- Um grande número de registros com informações duplicadas, levando a log bombs e log drops.
- Excesso de potência de computação necessária para a correlação de logs e para lidar com o grande volume de logs.
As soluções SASE enfrentam esses desafios de forma eficaz por meio de sua abordagem integrada.
A SASE combina várias funções de rede e de segurança de rede em um único serviço, fornecido como uma solução abrangente.
No entanto, é essencial ter cautela, pois as soluções SASE podem ser criadas de várias maneiras.
Os serviços SASE de um único fornecedor, embora sejam fornecidos como uma oferta combinada de um único fornecedor, podem ser compostos de componentes discretos de segurança e de rede de vários fornecedores de componentes.
Consequentemente, os logs e as métricas dessas soluções SASE de fornecedor único podem enfrentar desafios semelhantes.
Em contrapartida, as soluções SASE unificadas geralmente são fornecidas como um plano de dados unificado e abrangente que adere aos princípios da arquitetura de passagem única e da arquitetura run-to-complete.
Isso significa que o Unified SASE tem uma visão holística de cada sessão ou transação e das funções de segurança relacionadas aplicadas.
Como resultado, as soluções Unified SASE geram apenas um registro para cada arquivo, transação ou sessão, contendo todas as informações necessárias.
Por exemplo, os registros de acesso do Unified SASE incluem detalhes abrangentes, como:
- Informações de 5 tuplas (IP de origem, IP de destino, protocolo, porta de origem e porta de destino)
- Hora de início e hora de término da sessão/transação
- Nome de domínio no caso de conexões TLS
- Valor do cabeçalho do host e caminho do URL no caso de transações HTTP
- Se a conexão é segura ou não (TLS)
- Método HTTP (GET/POST/DELETE/PUT), parâmetros de consulta de URI e cabeçalhos e valores de solicitação e resposta HTTP, principalmente cabeçalhos que começam com X-
- Hash do arquivo (se vários arquivos forem enviados em uma transação HTTP, pode haver vários registros de acesso)
- Número de bytes enviados do cliente para o servidor e vice-versa
- Políticas de acesso e políticas de segurança aplicadas, juntamente com os detalhes da política e os valores correspondentes da sessão de tráfego, como reivindicações do usuário (nome principal, grupo, função, serviço de autenticação, emissor), categoria e pontuação de reputação de IP, categoria e pontuação de reputação de domínio, categoria e pontuação de reputação de URI, categoria e pontuação de reputação de serviço SaaS e pontuação de reputação e ação tomada.
É importante observar que vários mecanismos de segurança fornecem consentimento para o acesso a qualquer sessão ou transação.
Esses mecanismos de segurança abrangem o mecanismo de reputação de IP, o mecanismo de reputação de domínio, o mecanismo de reputação de URL, os mecanismos de reputação de SaaS, os mecanismos de controle de acesso, o mecanismo antimalware, o mecanismo de IDPS e outros.
Cada mecanismo de segurança aplica seu próprio conjunto de políticas e toma as medidas adequadas com base nos resultados.
Devido à presença de vários mecanismos, cada um com sua tabela de políticas e conjuntos exclusivos de valores correspondentes de tráfego ou enriquecimentos de tráfego, é necessário registrar o nome da política correspondente e os parâmetros que levaram à correspondência da política.
Os logs de acesso desempenham um papel fundamental nas plataformas de observabilidade, permitindo análises precisas.
No entanto, outros logs são de igual importância para as plataformas de observabilidade, e as soluções “Unified SASE” os oferecem imediatamente.
Esses logs são fundamentais para aprimorar os recursos da plataforma para obter insights abrangentes.
Alguns dos logs essenciais fornecidos pelas soluções Unified SASE incluem:
- Registros relacionados à entrada e saída de usuários por meio de sua função de corretor de identidade.
- Logs relacionados a falhas no login do usuário, que ajudam a monitorar possíveis ameaças à segurança.
- Logs relacionados ao login do usuário, enriquecidos com informações abrangentes sobre reivindicações do usuário, inclusive:
- Endereço de e-mail do usuário
- Emissor (provedor de identidade)
- Vários grupos e funções aos quais o usuário pertence
- O serviço de autenticação que autenticou o usuário
- Se a autenticação multifator (MFA) foi aplicada ou não
- IP de origem a partir do qual o usuário fez login
- Protocolo de autenticação usado pelo aplicativo do usuário
- Local a partir do qual o usuário fez login
A inclusão de logs relacionados à autenticação do usuário e logs de acesso pode fornecer dados valiosos à plataforma de observabilidade para a identificação eficaz de anomalias comportamentais.
Além disso, as soluções Unified SASE oferecem registros sempre que alguma ameaça é detectada, como malware, explorações ou atividades suspeitas.
Esses logs incluem informações de 5 tuplas (IP de origem, IP de destino, protocolo, porta de origem, porta de destino), data/hora e informações de reivindicações de usuários conhecidos no momento da detecção da ameaça.
Isso ajuda a correlacionar a ameaça com a sessão ou a transação em que ela foi observada, auxiliando na resposta e na atenuação de incidentes.
Embora não estejamos falando sobre eles aqui, muitos outros logs relacionados ao kernel do sistema SASE, processos, contêineres e hardware ajudam na análise de diagnóstico.
Além de gerar logs, as soluções Unified SASE também fornecem várias métricas, incluindo contadores, medidores e histogramas.
Essas métricas são valiosas na identificação de anomalias estatísticas e na solução de problemas, oferecendo visibilidade de diferentes componentes da arquitetura SASE.
Em geral, os diferentes tipos de logs, incluindo logs de acesso, logs relacionados à autenticação, logs de ameaças e logs de diagnóstico com vários tipos de métricas que o Unified SASE fornece, ajudam as plataformas de observabilidade a fornecer não apenas análises descritivas e de diagnóstico, mas também análises comportamentais/preditivas.
A SASE unificada e a observabilidade integrada estão unidas pelo quadril.
Conforme discutido até agora, o Unified SASE se destaca por permitir várias ferramentas de análise com seu rico conjunto de dados exportados.
Também reconhecemos que as soluções Unified SASE englobarão uma plataforma de observabilidade abrangente que inclui várias análises, principalmente a análise comportamental, conforme descrito anteriormente.
Nos estágios iniciais, as plataformas de observabilidade integradas limitavam-se principalmente às soluções SASE, sendo que a observabilidade de ponta a ponta geralmente dependia dos serviços de observabilidade das plataformas Splunk, Datadog, Elastic, New Relic e XDR de ameaças de ponta a ponta.
Em essência, o Unified SASE incorpora sua própria plataforma de observabilidade integrada e, ao mesmo tempo, fornece logs e métricas de alta qualidade para diversas ferramentas externas de observabilidade.
O SASE unificado é fundamental para aumentar os recursos de observabilidade.
As ferramentas tradicionais de monitoramento e visibilidade são insuficientes em ambientes corporativos complexos caracterizados por forças de trabalho distribuídas, implementações de aplicativos em várias nuvens/áreas de cobertura, uso extensivo de vários serviços SaaS, um cenário de ameaças em constante expansão e arquiteturas de aplicativos baseadas em microsserviços.
A dependência de logs e métricas de várias fontes de rede, segurança e aplicativos geralmente prejudica a capacidade dessas ferramentas de fornecer insights acionáveis e recursos eficientes de correlação e análise de causa raiz.
A necessidade do momento é a “observabilidade”.
Muitos fornecedores tradicionais de análise começaram a aumentar suas ofertas com recursos de observabilidade, como UEBA e recursos associados de detecção de anomalias.
No entanto, a eficácia dessas ferramentas de análise depende muito da qualidade dos logs e das métricas que elas recebem.
O SASE unificado tem o potencial de superar os desafios relacionados à geração de logs abrangentes e de alta qualidade para todos os tipos de análise, inclusive a análise comportamental.
Ao oferecer uma abordagem unificada e uma exportação abrangente de dados, o Unified SASE pode aprimorar significativamente os recursos de observabilidade das organizações, facilitando a detecção proativa de ameaças, a análise precisa e uma melhor tomada de decisões.
A integração de várias ferramentas de análise e recursos de observabilidade no Unified SASE oferece uma solução avançada para lidar com as complexidades dos ambientes corporativos modernos e reforçar as defesas de segurança cibernética.
-
Blog CTO Insights
A série de blogs Aryaka CTO Insights oferece liderança de pensamento para tópicos de rede, segurança e SASE.
Para obter as especificações dos produtos Aryaka, consulte as fichas técnicas da Aryaka.