Las brechas de seguridad se han vuelto cada vez más comunes en el mundo digital. UEBA ayuda a las organizaciones a detectar y responder a estos incidentes.
User and Entity Behavior Analytics (UEBA) se conocía anteriormente como User Behavior Analytics (UBA). Es una solución de ciberseguridad que utiliza análisis para comprender cómo los usuarios (humanos) y las entidades (dispositivos y servidores en red) en una organización se comportan normalmente para detectar y responder a actividades anómalas en tiempo real.
UEBA puede identificar y alertar a los analistas de seguridad sobre variaciones riesgosas y comportamientos sospechosos que podrían indicar:
- Movimiento lateral
- Abuso de cuenta privilegiada
- Escalada de privilegios
- Compromiso de credenciales o
- Amenazas internas
UEBA también evalúa aún más el nivel de amenaza y proporciona una puntuación de riesgo que puede ayudar a establecer una respuesta adecuada.
Siga leyendo para conocer cómo funciona UEBA, por qué las organizaciones están cambiando a UEBA, los principales componentes de UEBA, el papel de UEBA en la respuesta a incidentes y las mejores prácticas de UEBA.
Tabla de contenido
¿Cómo funciona User and Entity Behavior Analytics?
Los análisis de comportamiento de usuarios y entidades primero recopilan información sobre el comportamiento esperado de las personas y las máquinas en su organización desde repositorios de datos como un lago de datos, un almacén de datos o a través de SIEM.
Luego, UEBA utiliza enfoques analíticos avanzados para procesar esta información para determinar y definir aún más una línea base de patrones de comportamiento: desde dónde inicia sesión un empleado, su nivel de privilegio, archivos, servidores a los que accede con frecuencia, hora y frecuencia de acceso y dispositivos que utiliza para acceso.
Luego, UEBA monitorea continuamente las actividades de los usuarios y las entidades, las compara con el comportamiento de referencia y decide qué acciones podrían resultar en un ataque.
UEBA puede saber cuándo un usuario realiza sus actividades normales y cuándo se está produciendo un ataque. Aunque un pirata informático puede acceder a los detalles de inicio de sesión de un empleado, no podrá imitar sus actividades y comportamiento habituales.
Una solución UEBA tiene tres componentes principales:
Análisis de datos: UEBA recopila y organiza datos de usuarios y entidades para crear un perfil estándar de cómo actúa normalmente cada usuario. Luego se formulan y aplican modelos estadísticos para detectar actividad anómala y alertar al equipo de seguridad.
Integración de datos: para hacer que el sistema sea más resistente, UEBA compara los datos obtenidos de varias fuentes, como registros del sistema, datos de captura de paquetes y otros conjuntos de datos, con los datos recopilados de los sistemas de seguridad existentes.
Presentación de datos: Proceso a través del cual el sistema UEBA comunica sus hallazgos y la respuesta adecuada. Este proceso generalmente implica emitir una solicitud para que los analistas de seguridad investiguen un comportamiento inusual.
El papel de UEBA en la respuesta a incidentes
El análisis de comportamiento de usuarios y entidades utiliza el aprendizaje automático y el aprendizaje profundo para monitorear y analizar el comportamiento habitual de los humanos y las máquinas en su organización.
Si hay una desviación del patrón regular, el sistema UEBA lo detecta y realiza un análisis que determina si el comportamiento inusual representa una amenaza real o no.
UEBA ingiere datos de diferentes fuentes de registro, como una base de datos, Windows AD, VPN, proxy, insignia, archivos y puntos finales para realizar este análisis. Con estas entradas y el comportamiento aprendido, UEBA puede fusionar la información para obtener una puntuación final para la clasificación de riesgos y enviar un informe detallado a los analistas de seguridad.
Por ejemplo, UEBA puede observar a un empleado que ingresa por VPN desde África por primera vez. El hecho de que el comportamiento del empleado sea anormal no significa que sea una amenaza; el usuario puede simplemente estar viajando. Sin embargo, si el mismo empleado del departamento de recursos humanos accede repentinamente a la subred de finanzas, UEBA reconocería las actividades del empleado como sospechosas y alertaría al equipo de seguridad.
Aquí hay otro escenario relacionado.
Harry, un empleado del Hospital Mount Sinai en Nueva York, está desesperado por dinero. En este día en particular, Harry espera a que todos salgan de la oficina y luego descarga la información confidencial de los pacientes a un dispositivo USB a las 7 p. m. Tiene la intención de vender los datos robados en el mercado negro por un dólar alto.
Afortunadamente, Mount Sinai Hospital utiliza una solución UEBA, que monitorea el comportamiento de cada usuario y entidad dentro de la red del hospital.
Aunque Harry tiene permiso para acceder a la información del paciente, el sistema UEBA aumenta su puntuación de riesgo cuando detecta una desviación de sus actividades habituales, que normalmente implican ver, crear y editar registros de pacientes entre las 9 a. m. y las 5 p. m.
Cuando Harry intenta acceder a la información a las 7 p. m., el sistema identifica patrones e irregularidades en el tiempo y asigna una puntuación de riesgo.
Puede configurar su sistema UEBA para que simplemente cree una alerta para que el equipo de seguridad sugiera una mayor investigación, o puede configurarlo para que tome medidas inmediatas, como apagar automáticamente la conectividad de red para ese empleado debido a la sospecha de ciberataque.
¿Necesito una solución UEBA?
Una solución UEBA es fundamental para las organizaciones porque los piratas informáticos están realizando ataques más sofisticados y cada vez más difíciles de detectar. Esto es especialmente cierto en los casos en que la amenaza proviene del interior.
Según estadísticas recientes de ciberseguridad, más del 34% de las empresas se ven afectadas por amenazas internas en todo el mundo. Y además, el 85% de las empresas dicen que es difícil cuantificar el costo real de un ataque interno.
Como resultado, los equipos de seguridad están cambiando hacia nuevos enfoques de detección y respuesta a incidentes (IR). Para equilibrar y potenciar sus sistemas de seguridad, los analistas de seguridad están fusionando tecnologías como el análisis de comportamiento de usuarios y entidades (UEBA) con SIEM convencionales y otros sistemas de prevención heredados.
UEBA le proporciona un sistema de detección de amenazas internas más potente en comparación con otras soluciones de seguridad tradicionales. Supervisa no solo el comportamiento humano anómalo, sino también los movimientos laterales sospechosos. UEBA también realiza un seguimiento de las actividades en sus servicios en la nube, dispositivos móviles y dispositivos de Internet de las cosas.
Un sofisticado sistema UEBA ingiere datos de todas las diferentes fuentes de registro y genera un informe detallado del ataque para sus analistas de seguridad. Esto le ahorra a su equipo de seguridad el tiempo dedicado a revisar innumerables registros para determinar el daño real debido a un ataque.
Estos son algunos de los muchos casos de uso de UEBA.
Los 6 principales casos de uso de UEBA
#1. UEBA detecta el abuso de privilegios internos cuando los usuarios realizan actividades riesgosas fuera del comportamiento normal establecido.
#2. UEBA fusiona información sospechosa de diferentes fuentes para crear una puntuación de riesgo para la clasificación de riesgo.
#3. UEBA realiza la priorización de incidentes al reducir los falsos positivos. Elimina la fatiga de las alertas y hace posible que los equipos de seguridad se concentren en las alertas de alto riesgo.
#4. UEBA evita la pérdida y la exfiltración de datos porque el sistema envía alertas cuando detecta datos confidenciales que se mueven dentro de la red o se transfieren fuera de la red.
#5. UEBA ayuda a detectar el movimiento lateral de piratas informáticos dentro de la red que pueden haber robado las credenciales de inicio de sesión de los empleados.
#6. UEBA también proporciona respuestas automatizadas a incidentes, lo que permite a los equipos de seguridad responder a incidentes de seguridad en tiempo real.
Cómo UEBA mejora UBA y los sistemas de seguridad heredados como SIEM
UEBA no reemplaza otros sistemas de seguridad, pero representa una mejora significativa utilizada junto con otras soluciones para una ciberseguridad más efectiva. UEBA se diferencia del análisis de comportamiento del usuario (UBA) en que UEBA incluye «Entidades» y «Eventos», como servidores, enrutadores y puntos finales.
Una solución UEBA es más completa que UBA porque monitorea procesos no humanos y entidades de máquinas para identificar amenazas con mayor precisión.
SIEM significa información de seguridad y gestión de eventos. Es posible que SIEM heredado tradicional no pueda detectar amenazas sofisticadas por sí mismo porque no está diseñado para monitorear amenazas en tiempo real. Y teniendo en cuenta que los piratas informáticos a menudo evitan ataques simples únicos y, en cambio, participan en una cadena de ataques sofisticados, pueden pasar desapercibidos por las herramientas tradicionales de detección de amenazas como SIEM durante semanas o incluso meses.
Una solución UEBA sofisticada aborda esta limitación. Los sistemas UEBA analizan los datos almacenados por SIEM y trabajan juntos para monitorear las amenazas en tiempo real, lo que le permite responder a las infracciones de forma rápida y sin esfuerzo.
Por lo tanto, al fusionar las herramientas UEBA y SIEM, las organizaciones pueden ser mucho más efectivas en la detección y el análisis de amenazas, abordar las vulnerabilidades rápidamente y evitar ataques.
Mejores prácticas de análisis de comportamiento de usuarios y entidades
Aquí hay cinco mejores prácticas para el análisis del comportamiento del usuario que brindan información sobre lo que se debe hacer al crear una línea de base para el comportamiento del usuario.
#1. Definir casos de uso
Defina los casos de uso que desea que identifique su solución UEBA. Estos pueden ser la detección de abuso de cuentas privilegiadas, compromiso de credenciales o amenazas internas. Definir casos de uso lo ayuda a determinar qué datos recopilar para el monitoreo.
#2. Definir fuentes de datos
Cuantos más tipos de datos puedan manejar sus sistemas UEBA, más precisa será la línea base. Algunas fuentes de datos incluyen registros del sistema o datos de recursos humanos, como el historial de desempeño de los empleados.
#3. Definir comportamientos sobre los que se recopilarán datos
Esto podría incluir las horas de trabajo de los empleados, las aplicaciones y los dispositivos a los que acceden con frecuencia y los ritmos de escritura. Con estos datos en su lugar, puede comprender mejor las posibles razones de los falsos positivos.
#4. Establecer una duración para establecer la línea de base
Al determinar la duración de su período de referencia, es fundamental tener en cuenta los objetivos de seguridad de su empresa y las actividades de los usuarios.
El período de referencia no debe ser demasiado corto ni demasiado largo. Esto se debe a que es posible que no pueda recopilar la información correcta si finaliza la duración de la línea de base demasiado rápido, lo que da como resultado una alta tasa de falsos positivos. Por otro lado, algunas actividades maliciosas pueden pasar como normales si tarda demasiado en recopilar la información de referencia.
#5. Actualice sus datos de referencia con regularidad
Es posible que deba reconstruir sus datos de referencia regularmente porque las actividades de los usuarios y las entidades cambian todo el tiempo. Un empleado puede ser ascendido y cambiar sus tareas y proyectos, nivel de privilegio y actividades. Los sistemas UEBA se pueden configurar automáticamente para recopilar datos y ajustar los datos de referencia cuando se producen cambios.
Ultimas palabras
A medida que dependemos cada vez más de la tecnología, las amenazas a la ciberseguridad se vuelven más complejas. Una gran empresa debe proteger sus sistemas que contienen datos confidenciales propios y de sus clientes para evitar violaciones de seguridad a gran escala. UEBA ofrece un sistema de respuesta a incidentes en tiempo real que puede prevenir ataques.