A mesma lógica usada para proteger cartões de crédito está sendo adotada pelos fornecedores de soluções de segurança para proteger dados e informações de seus clientes. Na Forcepoint (sede em Austin, Texas, 20 anos em operação, 20 mil clientes no mundo inteiro), essa lógica ganhou o nome de Risk Adaptive Protection e seu objetivo é proporcionar uma proteção dinâmica tanto do comprometimento de identidades quanto do furto de dados.
William Rodrigues, senior sales engineer da empresa no Brasil, explica que a maioria das soluções de DLP (data loss prevention) funciona com um conjunto de regras que constitui a política de segurança. “Ocorre que esses sistemas em geral protegem demais a empresa, muitas vezes frustrando o usuário que precisa de recursos para seu trabalho”, explica.
“Normalmente você cria politicas que bloqueiam o vazamento via pen drive ou via e-mail. Mas muitas vezes isso não funciona e acaba sendo um exagero em relação a muitos usuários, porque falta contextualização. Cria-se na verdade uma política estática. Se o usuário for usar um pen drive USB, o DLP bloqueia; se for usar e-Mail, ele deixa, e assim por diante. O resultado dessa rigidez é que em muitos dos nossos clientes encontramos o DLP simplesmente desligado porque incomoda e atrapalha os usuários”, diz Rodrigues.
O grande problema da rigidez de políticas levou a Forcepoint a desenvolver sua proteção adaptável com base em UEBA – User and Entity Behavior Analytics, uma expressão já abreviada para User Behavior Analytics, ou análise de comportamento do usuário.Rodrigues esclarece o conceito: “Essa estratégia usa algoritmos e às vezes inteligência artificial para entender o comportamento dos usuarios. É exatamente o mesmo tipo de controle feito pelos sistemas de segurança de cartões de crédito. É baseado em padrões e modelos matemáticos. Um banco tem mapeados todos os caixas eletrônicos e mapeia o comportamento dos seus clientes. Quando um deles faz por exemplo um saque de valor muito diferente e em local também muito diferente dos usuais, isso gera um alerta”.
E continua: “Os sistemas registram anomalias, desvios de comportamento. As soluções de UEBA fazem justamente isso, com modelos matemáticos que se aplicam aos negócios. Para isso utilizam dados de comportamento do usuários relacionados à possibilidade de vazamento de dados. Calculam isso analisando transcrição de conversas telefônicas. chats e conteúdo de e-Mails”. O resultado dessa análise, segundo Rodrigues, é uma nota de risco.
“Digamos que usuário loga todos os dias às 9 e faz logoff às 17, usa determinados sistemas, e tem um volume de transferência de dados de um determinado tamanho. A partir de certo momento, faz logon às 7 da manhã e logoff às 8 da noite, com trânsito para nuvem massivo. Tudo isso é contabilizado como anomalia e vira nota de risco. Suponhamos então que naquele dia houve um incidente e aquele usuário estava com nota de risco 8.5. Significa que ele teve um comportamento que representava risco”, acrescenta o especialista.
A nota de risco sozinha, no entanto, não evita o vazamento, assinala Rodrigues. É aí que entra o Risk adaptive protection: as notas de risco de cada usuário alimentam o sistema de DLP. Se um usuário tem nota baixa, aplica-se a ele, digamos, apenas uma política de monitoramento e auditoria do que ele está fazendo. Se um usuário tem nota elevada, é aplicada automaticamednte uma política adaptada para aquele nível de risco. Rodrigues explica que desse modo o DLP é orquestrado conforme as notas dos usuários, sem qualquer intervenção humana. “Isso também evita que o pessoal de segurança tenha de se ocupar da análise de eventos e do tratamento de falsos positivos”. Como exemplo, ele cita o caso de um usuário que vai fazer uma apresentação para a diretoria e tenta copiar dados para um pen drive. “Se ele apresenta risco baixo, o DLP criptografa os arquivos, mas permite a cópia. Se começa a copiar dados para o notebook dele, como no caso de uma viagem, pode-se até capturar a tela dele para verificar o que fez e como fez. E se por exemplo sua máquina for contaminada por malware e começa a acessar material crítico com tentativas de copiar para fora da rede corporativas, a nota de risco é elevada e todas as cópias de dados são bloqueadas até que o nivel daquele usuário baixe de novo”.