Cómo monitorear el comportamiento de usuarios con IA
¿Prefieres un resumen de este blog? ¡Da click en el botón de abajo y deja que ChatGPT te lo cuente! (también puedes probar con Perplexity)
¿Le ha sucedido que alguno de sus empleados ha sido victima de phishing? Tenemos que admitirlo, es un comportamiento más que común dentro de las empresas digitales. El verdadero reto está en no permitir que avance a un ransomware o robo de datos.
Probablemente ya conoce algunas estrategias que pueden ayudarle a que esto no suceda. Herramientas SIEM, Zero Trusty demás cumplimientos internacionales como GDPR.
Hoy queremos presentarle cómo monitorear el comportamiento de usuarios con IA: User Behavior Analytics o UBA.
¿Qué es UBA?
De acuerdo con IBM, las herramientas UBA (User Behavior Analytics) se refieren al uso de Inteligencia Artificial y Machine Learning para analizar y rastrear el comportamiento de los usuarios en la red, configurar patrones e identificar si existe alguna anomalía que pueda significar una amenaza.
Si Antonio, el consultor técnico de su organización ingresa a los datos de nómina de los puestos gerenciales, se activan alarmas, teniendo en cuenta que a estos datos solo debería tener acceso el área de Recursos Humanos.
Si, Cristina, la analista de marketing ingresa a su computador corporativo desde la casa de su abuela a las 2 de la mañana, también se activan alarmas.
La inteligencia artificial aprende entonces de lo que puede o no puede ser habitual para el comportamiento de los usuarios en la red corporativa.
¿Qué es lo primero que hay por hacer entonces? Permitir que los mecanismos de IA y machine learning aprendan de la organización.
Defina qué herramienta UBA se alinea más con los objetivos de su organización.
Despliéguela en su infraestructura de red y permita que recolecte toda la data sobre controladores de dominio, servidores, logs de workstations y más.
Llega la etapa del procesamiento, después de recibir toda la información, UBA establecerá actividades normales de inicio de sesión, gestión de archivos y administración de usuarios. Esto con la finalidad de crear patrones.
Ya con los patrones de comportamiento, la UBA activará su motor de detección de anomalías. Buscará logs que puedan representar comportamientos sospechosos y así aprender a detectar anomalías.
Ya con la inteligencia artificial y el machine learning entrenados, UBA enviará alarmas (correo o SMS) cada vez que identifique una actividad anómala.
Logs de inicios de sesión maliciosos en ADAudit Plus
Retos en el monitoreo del comportamiento de usuarios con IA
Uno de los desafíos más grandes de UBA son los falsos positivos y los falsos negativos. Retomemos los ejemplos anteriores:
Antonio, consultor técnico de la organización, accede a los datos de nómina de la empresa. Si la UBA no está bien entrenada (por no darle suficiente tiempo de procesamiento o poco acceso a los datos de logs) puede arrojarnos un falso negativo.
¿Qué es un falso negativo? Ocurre cuando se permite que ciertas anomalías pasen por la red sin una corrección. La mejor forma de evitar esto es realizar las correcciones a tiempo sobre anomalías que no se identificaron como criticas. Así la IA y el ML de UBA estarán en constante aprendizaje.
Por otro lado, tenemos a Cristina, analista de marketing de la organización. Ingresó a su cuenta desde el computador corporativo en una ubicación no registrada y en un horario fuera del comportamiento normal. Entonces recibimos una alarma sobre esto.
Pero resulta que Cristina se olvidó de enviar un correo antes de terminar su jornada y se despertó angustiada en la madrugada solo para poder enviarlo. Nos da un falso positivo, pues es una anomalía pero no tiene un nivel de importancia critico.
También puede referirse a comportamientos fuera de lo común, pero que están aprobados. Como transferir todos los datos de un computador a la nube.
Logs de violaciones de datos en ADAudit Plus
¿Cómo aprovechar las capacidades de UBA?
Revisemos más afondo cómo puede monitorear el comportamiento de sus usuarios con IA y ML:
UBA podrá reconocer cuando un usuario ingrese en horas inusuales o existan varios intentos fallidos de sesión.
Accesos de usuarios inactivos o por primera vez.
Volúmenes inusuales y/o no autorizados de actividades en la administración de los usuarios.
Violaciones de datos como extraer o borrar información.
Comenzar un proceso no autorizado en cualquier equipo, como despliegue de malware o similares.
Obtenga todos los detalles sobre quién hace qué, cuándo y dónde, junto con otros detalles sobre cada anomalía.
Es UBA, no UEBA
Desde ManageEngine ya les contamos un par de veces sobre tecnologías como UEBA (User and Entity Behavior Analytics). ¡Pero, no los confundamos!
Ambos mecanismos logran identificar los comportamientos de usuarios dentro de la red, la diferencia es que UEBA detecta anomalías también en dispositivos y aplicaciones.
Algunos expertos del sector dicen que la diferenciación debe realizarse, pero hay aquellos que dicen que son tecnologías sinónimas. Dejamos el debate en su poder. ¿Cree que vale la pena diferenciar ambos? Lo leemos en los comentarios.
Contenido relacionado: Prediga el comportamiento de los ciberdelincuentes con análisis del comportamiento (UEBA)
Un aliado estratégico: ADAudit Plus de ManageEngine
Buscando una herramienta UBA, ¿pero todavía no sabe cuál?
Le contamos que ADAudit Plus es la solución que necesita para la gestión de su Active Directory.
Audite cambios, rastree inicios de sesión de usuarios, solucione cierre de cuentas, supervise usuarios privilegiados, proteja datos sensibles, garantice la integridad de archivos, tenga la capacidad de responder ante amenazas y alinearse a cumplimientos internacionales.
Dashboard de mitigación de amenazas en ADAudit Plus
Tampoco se pierda la oportunidad de tener integraciones SIEM con herramientas de ManageEngine y de terceros.
Todo esto adicional a las capacidades UBA que ya le mencionamos.
¡Ahora lo leemos! ¿Ya cuenta con una herramienta para el monitoreo del comportamiento de usuarios basado en IA?