El diccionario Collin define el “patrón de comportamiento” como la forma recurrente de actuar de un individuo o grupo hacia un objeto o en una situación determinada. El análisis y la comprensión de los patrones de comportamiento de los individuos ha demostrado su capacidad de proporcionar soluciones exhaustivas a los problemas en diferentes ámbitos cotidianos, incluida la ciberseguridad.
En lo que respecta a las organizaciones que luchan contra las ciberamenazas, las soluciones de seguridad tradicionales basadas en reglas no proporcionan visibilidad sobre los ciberataques cada vez más sofisticados. Vemos este patrón en las infracciones de seguridad que se producen a diario. Además, durante el proceso de detección y corrección rápida de las amenazas a la seguridad, las herramientas de seguridad tradicionales tienden a abrumar a los analistas de seguridad con alertas que no tienen un contexto.
Aquí es donde el análisis del comportamiento de usuarios y entidades (UEBA) ofrece una solución más eficiente. Una solución de UEBA organiza la analítica avanzada a través del enriquecimiento de datos, la ciencia de datos y la tecnología de machine learning para combatir las amenazas avanzadas.
Mediante este proceso, el UEBA produce menos alertas, pero más precisas y reduce el número de falsos positivos. Incorporar el análisis del comportamiento en su solución de SIEM ayuda a abordar el panorama de amenazas de seguridad anormales y avanzadas junto con la detección de amenazas tradicional basada en reglas.
Veamos algunos casos de uso en los que el análisis del comportamiento es fundamental para detectar ataques.
Diferenciar entre comportamientos normales y maliciosos
No es ningún secreto que las amenazas internas son una de las muchas causas de la pérdida de datos sensibles. En este caso, el atacante es un actor interno malicioso o comprometido. Detectar las amenazas internas puede ser un reto, ya que la mayoría de las herramientas de seguridad no pueden diferenciar a un usuario legítimo de un posible atacante.
En este caso, una solución de UEBA detecta a los usuarios que realizan actividades sospechosas fuera de lo normal. El análisis del comportamiento tiene en cuenta el historial del comportamiento de un usuario concreto y detecta actividades anormales como:
∙ Inicios de sesión a horas inusuales, en frecuencias inusuales, desde lugares inusuales y accediendo a datos o sistemas inusuales, como servidores SQL
∙ Aumento de privilegios en sistemas críticos
∙ Acceso no autorizado a cuentas de usuario
∙ Intentos de exfiltración de datos mediante al correlacionar los eventos aparentemente no relacionados, como el inicio de sesión a una hora inusual, el acceso a una base de datos del servidor SQL y la conexión de una unidad USB
Detectar los activos comprometidos con rapidez y precisión
En lo que respecta a los ciberataques, algunos de los principales activos atacados incluyen sistemas, hosts, cuentas o dispositivos. Los actores maliciosos pueden operar en la red de su organización sin ser detectados durante semanas o incluso meses. Mediante el análisis del comportamiento, detectar las amenazas a la seguridad, como los dispositivos comprometidos, es más fácil, más preciso y mucho más rápido.
En este caso, la solución de UEBA detecta las actividades anómalas monitoreando el comportamiento de las entidades de su organización. La solución monitorea:
∙ Las cuentas de usuarios privilegiados para verificar si están comprometidas
∙ Los servidores para identificar actividades que se desvíen de los patrones normales
∙ El comportamiento anómalo en tiempo real, como el aumento del tráfico en los dispositivos de red, incluidos los dispositivos Windows, routers y firewalls
Detectar los intentos de exfiltración de datos
La exfiltración de datos se produce cuando los datos sensibles se transfieren fuera de la organización sin autorización. Esto puede ocurrir cuando un usuario malicioso transfiere datos al copiar su contenido en un dispositivo físico o a través de Internet. También puede ocurrir a través de infecciones de malware en los sistemas de la organización.
En este caso, la solución de UEBA monitorea los dispositivos de la red, y detecta y proporciona alertas en tiempo real para eventos sospechosos como:
∙ Instalaciones de software inusuales en determinados dispositivos
∙ Descargas o accesos inusuales a datos sensibles
∙ Cantidades de tráfico de red inusuales que podrían ser un indicio de una gran transferencia de datos, que se desvía del comportamiento normal del usuario o equipo que transfiere los datos.
Dado que actualmente los ataques son cada vez más sofisticados y las amenazas a la seguridad provienen tanto del exterior como del interior de la red, su organización necesita una solución de seguridad que sea capaz de detectar y mitigar las amenazas inusuales.
Una solución de UEBA puede adaptarse rápidamente al entorno de su organización aprendiendo y analizando el comportamiento de sus usuarios y entidades, y alertándole de las actividades anómalas que se desvían de los patrones normales. También le ayuda a prepararse para enfrentar amenazas poco comunes, tanto de actores maliciosos internos como externos.
Si está interesado en aprender más sobre el análisis del comportamiento y machine learning en SIEM, en este ebook gratuito en español puede aprender a aprovechar esta tendencia de ciberseguridad para reforzar su estrategia.