Análisis de comportamiento (UEBA)

Análisis de comportamiento (UEBA)

DEFINICIÓN

UEBA es el término definido por Gartner para User and Entity Behavior Analytics . El concepto también se puede denominar SUBA por Security User Behavior Analytics , término en este caso acuñado por Forrester Research, así como UBApara User Behavior Analytics, o incluso en muchas web de producto denominados como Analytics Behavioral o incluso Behavioral Analysis.

Estos términos diferentes se utilizan en su mayoría de manera intercambiable y definen UEBA como el analisis del comportamiento de las personas que están conectadas a la red de una organización, así como entidades, o puntos finales como servidores, cuentas, portátiles, aplicaciones, etc. En este caso, la “gente” podrían ser empleados, así como terceros proveedores o contratistas que tengan acceso a diferentes partes de la red.

UEBA se utiliza para la detección de amenazas, tanto para la detección de fallos externos como para la identificación de intrusos . Desde una perspectiva del comportamiento, aprende lo que las personas y las entidades hacen sobre una base “normal”, ¿de dónde se conectan normalmente, a qué servidores de archivos y aplicaciones están accediendo, desde qué dispositivos se conectan , qué privilegios tienen, cómo de fuertes son sus contraseñas, etc…. buscando establecer una línea base de lo que es el comportamiento habitual del que no lo es. Al entender lo que es este comportamiento normal de los usuarios y las entidades, cuando algo inusual ocurre, UEBA lo detectará.

La mayoría de las soluciones UEBA aprenden el comportamiento de los usuarios, grupos y dispositivos para establecer líneas base y aplicar porcenajes de riesgo adaptativo a lo largo del tiempo basado en dicha actividad. Si se produce un incidente de seguridad, la puntuación de riesgo sube o cambia según el tipo de amenaza. Esto no sólo ayuda a identificar las amenazas, sino que también ayuda a las organizaciones a realizar un seguimiento de quiénes son sus usuarios inseguros y privilegiados, identificar cuentas obsoletas, contraseñas débiles, puntos finales compartidos y mucho más.

Al aprender el comportamiento, permite detectar e identificar riesgos o amenazas de seguridad tales como:

  • Compromiso de credenciales
  • Insecure Insiders
  • Usuarios Privilegiados
  • Hackers maliciosos
  • Incumplimientos
  • Ataques de fuerza bruta a Contraseña

UEBA ha surgido porque la mayoría de las soluciones de análisis basadas en registros, como es el SIEM, son inversas y no se vuelven más precisas con el tiempo, ni aprenden. Es difícil recolectar y correlacionar todos los eventos. A menudo generan un gran volumen de incidentes, o alertas, que requieren cobertura 24×7 y respuesta manual del equipo de seguridad para determinar si existe una amenaza real. Y esa determinación toma un poco de tiempo debido a la falta de recursos, o incluso las habilidades técnicas para identificar con precisión lo que sucedió durante en incidente. Durante ese tiempo, los atacantes son libres de recorrer la red.

Con el aprendizaje constante de la UEBA, se puede proporcionar una mayor visibilidad y conocimientos para no sólo detectar más rápidamente una amenaza potencial, sino también ayudar a una organización a reducir su superficie de ataque mediante la identificación y eliminación de fallas de seguridad aprendidas. Hoy en día, en que las amenazas internas y las violaciones externas crecen fuertemente , las organizaciones tienen que mirar más allá de sus preocupaciones en el perímetro y echar un vistazo a la detección de amenazas internas.