Análisis del comportamiento de usuarios y entidades (UEBA)

¿Qué es el análisis del comportamiento de usuarios y entidades?

El análisis del comportamiento de usuarios y entidades (UEBA) es un enfoque algorítmico de la supervisión de redes que se centra en las actividades de actores humanos y entidades como hosts, plataformas de software y puntos finales. Mediante el aprendizaje automático, las soluciones UEBA establecen una línea de base de lo que constituye un comportamiento "normal" en una red. A continuación, utilizan esta línea de base para identificar posibles amenazas y sistemas comprometidos.

Los actores de las amenazas rara vez aprovechan una única cuenta comprometida para lanzar un ataque. Sus tácticas suelen estar diseñadas para confundir la seguridad centrada en reglas estáticas. Las amenazas internas son especialmente difíciles de detectar con una solución heredada, ya que su comportamiento puede parecer simplemente el de alguien que hace su trabajo.

Por último, las soluciones de seguridad basadas en reglas no son adecuadas para el ecosistema dinámico y sin perímetro en el que operamos la mayoría de nosotros.

UEBA evolucionó como respuesta a estos retos. Al centrarse en el comportamiento en tiempo real en lugar de en indicadores predefinidos, permite a las empresas detectar posibles amenazas con mayor rapidez y precisión. Junto con Endpoint Protection y Extended Detection and Response, UEBA es un componente importante de Zero Trust Network Access, ya que proporciona el soporte necesario para procesos como la autenticación continua.

Análisis del comportamiento de usuarios y entidades

Ventajas de la UEBA

Las ventajas de adoptar la UEBA son las siguientes

  • Reducción de la carga de trabajo de los equipos de seguridad
  • Reducción de la fatiga por alerta
  • Gastos generales más bajos
  • Mejor protección contra las amenazas internas
  • Gestión/supervisión de activos de nube e IoT

UEBA no se basa en reglas estáticas o firmas, por lo que está mejor equipado para proteger contra amenazas de día cero y patrones de ataque desconocidos. Esto también facilita considerablemente la vida a los equipos de seguridad. En lugar de tener que dedicar tiempo a configurar minuciosamente reglas para cada escenario posible, pueden centrarse en la mitigación y la respuesta.

Dado que UEBA se basa en el aprendizaje automático, las soluciones son cada vez más precisas a la hora de identificar si una acción es normal o sospechosa. Esto se traduce en menos falsos positivos y un menor volumen total de notificaciones. Además, es mucho más fácil detectar las amenazas internas mediante el análisis del comportamiento, lo que significa que UEBA también ofrece una mejor protección contra los intrusos malintencionados y los descuidos.

Ventajas adicionales de UEBA

  • Políticas de seguridad dinámicas y adaptables
  • Detección más rápida de amenazas avanzadas
  • Mayor precisión de detección
  • Mayor control de la política de seguridad
  • Mayor seguridad para contratistas y personal remoto
  • Detección de ataques no basados en malware

Cómo funciona UEBA

UEBA se basa en líneas de base. La idea central es que incluso si un agente de amenazas consigue comprometer la cuenta de alguien, no puede imitar el comportamiento de ese individuo: sus acciones se desviarán de lo que constituye "normal". Del mismo modo, si una persona con acceso a información privilegiada comienza a comportarse de forma anormal, una herramienta UEBA puede señalar esa actividad para su investigación.

Sin embargo, UEBA no se centra únicamente en los usuarios. También analiza el comportamiento de entidades no humanas en la red, como puntos finales y plataformas de software. Algunas soluciones UEBA amplían su enfoque para incluir eventos.

Sea cual sea su alcance, una solución UEBA analiza multitud de fuentes de datos para establecer sus líneas de base:

Los datos relevantes extraídos de lo anterior incluyen:

  • Lugar de acceso
  • Hora del día
  • Frecuencia de acceso
  • Ficheros o servidores típicos
  • Aplicaciones o servicios típicos
  • Funciones, privilegios y permisos
  • Tipo de dispositivo

Una vez digerida y contextualizada esta información, UEBA define una puntuación de riesgo para cada usuario y entidad. Cada vez que se produce una actividad que se desvía de la línea de base, la puntuación aumenta. Finalmente, cuando la puntuación alcanza un umbral predefinido, el usuario o la entidad se señalan a la atención del equipo de seguridad.

Algunas soluciones UEBA avanzadas pueden incluso orquestar y agregar datos de múltiples sistemas para construir una cronología de un incidente de seguridad o de un suceso perturbador. Este proceso se conoce como session stitching.

Los "tres pilares" de UEBA

En su Guía de mercado para el análisis del comportamiento de usuarios y entidades (Market Guide for User and Entity Behavior Analytics), Gartner establece su definición de soluciones UEBA basándose en tres categorías.

Casos prácticos

El principal caso de uso de UEBA implica la detección de una amplia gama de amenazas diferentes. Sin embargo, para que Gartner considere algo una "plataforma UEBA pura y dura", no puede adoptar un enfoque genérico. En su lugar, debe definir y abordar múltiples casos de uso distintivos.

Fuentes de datos

Una plataforma UEBA pura ofrece múltiples formas de recopilar y orquestar datos, incluida la extracción nativa de fuentes de datos, la integración con herramientas de gestión de registros o SIEM, o la extracción de lagos de datos. Es capaz de lograr esto sin agentes de instrumentación dedicados.

Analítica

Las UEBA puras hacen hincapié en los análisis avanzados y sofisticados. Deben utilizar modelos analíticos personalizados para cada caso de uso individual que la plataforma esté destinada a satisfacer. Estos métodos y procesos analíticos deben apoyarse en análisis básicos, cuando sea necesario.

Buenas prácticas para aplicar la UEBA

Los siguientes pasos son cruciales para construir una línea de base efectiva e implementar con éxito UEBA en su postura de ciberseguridad:

  • Comprenda el perfil de riesgo de su organización.
  • Determine cómo pretende utilizar UEBA: ¿qué casos de uso abordará esta implantación?
  • Identifique las fuentes de datos que utilizará su solución UEBA.
  • Defina qué comportamientos son relevantes para sus casos de uso.
  • Determine quién recibirá las notificaciones UEBA y cuándo.
  • Contabilizar usuarios y entidades tanto internos como externos.
  • Asegúrese de que sus procesos y políticas están en consonancia con la adopción de UEBA.
  • Pruebe su solución UEBA de forma regular y exhaustiva.

Casos de uso de UEBA

UEBA puede aprovecharse normalmente en alguno o todos los casos de uso siguientes, según la definición de Gartner.

Detección de amenazas internas maliciosas

Identificar una amenaza externa es relativamente sencillo. Determinar si un usuario de confianza tiene o no intenciones maliciosas es considerablemente más difícil. Requiere el análisis de datos de comportamiento mucho más allá de los registros del sistema, incluido el contenido del correo electrónico, las revisiones de rendimiento y la presencia en las redes sociales.

Defensa frente a las amenazas persistentes avanzadas

Las amenazas persistentes avanzadas y las amenazas desconocidas son increíblemente difíciles de detectar y mitigar. A menudo siguen una compleja cadena letal, con tácticas o comportamientos aún no identificados como peligrosos. UEBA hace que sea mucho más fácil identificar cuando un usuario, cuenta o dispositivo de confianza se ha visto comprometido, ya que inevitablemente se comportarán de una manera fuera de su línea de base.

También puede aplicarse para detectar cuándo alguien con acceso privilegiado es descuidado con activos sensibles.

Prevención de la filtración de datos

UEBA también puede utilizarse para aumentar las soluciones de prevención de pérdida de datos o de gobernanza de acceso a datos. Esto mejora significativamente la relación señal-ruido de estas herramientas y proporciona otro medio para detectar actividades maliciosas internas.

Gestión y priorización de alertas e incidentes

Para los equipos de seguridad que reciben un gran volumen de alertas, puede ser difícil determinar el foco de atención. UEBA puede aprovechar los datos de referencia para identificar qué alertas e incidentes son especialmente anómalos o perturbadores. Normalmente, no sólo aprovecha los datos de comportamiento para este fin, sino también la información sobre las personas y los activos de la empresa.
La gestión de los privilegios y permisos de acceso en las grandes organizaciones puede resultar increíblemente complicada. A través de UEBA, una empresa puede identificar a los usuarios que tienen privilegios más allá de lo que se les debería permitir. Además de limpiar las cuentas inactivas y aplicar el mínimo privilegio, esto también puede ayudar a detectar movimientos laterales.

UEBA frente a SIEM

Dada la similitud de sus objetivos, se puede caer en la tentación de considerar que la gestión de incidentes y eventos de seguridad (SIEM) es mutuamente excluyente de UEBA. Pero no es así. Aunque puede haber cierto solapamiento en los casos de uso, las soluciones UEBA y SIEM tienen propósitos diferentes.

Y funcionan muy bien en tándem.  

Quizá por eso Gartner considera UEBA como una extensión de SIEM, más que como una tecnología independiente. No es difícil entender por qué. Ambas se complementan a la perfección: la solución SIEM sirve de valiosa fuente de datos para la herramienta UEBA y ésta ofrece una detección y un análisis de amenazas más sofisticados.

PREGUNTAS FRECUENTES

¿Qué significa UEBA?

UEBA son las siglas de User and Entity Behavior Analytics (análisis del comportamiento de usuarios y entidades).

¿Qué es la seguridad UEBA?

Las soluciones UEBA aumentan las prácticas y procesos de ciberseguridad existentes mediante un sofisticado aprendizaje automático. Cuando se combinan con ZTNA, XDR y EPP, constituyen un enfoque más moderno y completo de la seguridad y la continuidad del negocio.

¿Qué es una herramienta UEBA?

Una herramienta UEBA es cualquier software o plataforma con funcionalidad UEBA incorporada. Puede ser puramente funcional (completamente dedicada a UEBA) o integrada (UEBA se incluye como parte de la funcionalidad general).

¿Qué es una "entidad"?

En el contexto de UEBA, una entidad es cualquier elemento no humano capaz de actuar -de forma autónoma o bajo la dirección de un actor humano- en una red. Entre ellos se incluyen, entre otros:

  • Puntos finales
  • Software y aplicaciones
  • Dispositivos móviles
  • Otras redes u organizaciones
  • Sistemas informáticos como hardware de red
  • Amenazas no humanas (ransomware, malware)
  • Otras empresas

¿Cuál es la diferencia entre UEBA y UBA?

UBA (User Behavior Analytics) se centra únicamente en los actores humanos. UEBA, en cambio, analiza el comportamiento de los dispositivos y máquinas de una red, además del de los usuarios. UEBA también se centra más en las amenazas externas que UBA.

Aparte de esto, los dos son casi idénticos.  

¿Cuáles son los tres pilares de la UEBA?

Los tres pilares de UEBA, definidos por Gartner, son las funciones básicas que debe adoptar una solución o marco UEBA para ser eficaz. Estos pilares son:

  1. Casos de uso. UEBA debe definir y abordar múltiples casos de uso distintivos
  2. Datos. Una solución UEBA debe ser capaz de ingerir datos de múltiples fuentes de datos predefinidas, como lagos de datos, repositorios de datos o a través de un SIEM sin agentes de instrumentación dedicados.  
  3. Analítica. UEBA requiere un enfoque relativamente complejo de la ciberseguridad algorítmica, aprovechando múltiples técnicas de modelado de amenazas y aprendizaje automático, como modelos estadísticos, supervisión basada en reglas, análisis de comportamiento y detección de firmas de amenazas.

¿Cuál es la diferencia entre UEBA y SIEM?

Las herramientas de gestión de eventos e información de seguridad (SIEM) agregan y contextualizan los datos de eventos del sistema para permitir una gestión más eficaz en tiempo real de las amenazas activas. UEBA se centra más en el comportamiento que en los eventos, lo que le permite detectar ataques más sofisticados que un SIEM podría pasar por alto. Es importante señalar que UEBA y SIEM no se excluyen mutuamente: de hecho, Hartner considera que UEBA es una característica de las plataformas SIEM modernas.

¿Por qué es importante la UEBA?

Los entornos operativos de las empresas son cada vez más complejos y dinámicos: configurar sistemas de seguridad basados en reglas para que se adhieran a un ecosistema así es, en el mejor de los casos, insostenible. Y lo que es más importante, los actores de las amenazas modernas son astutos. Sus tácticas suelen estar diseñadas para confundir a las soluciones de seguridad heredadas centradas en la prevención.

UEBA también desempeña un papel importante en Zero Trust Network Access (ZTNA) y ayuda a las empresas a reducir los falsos positivos y las alertas innecesarias.

Las plantillas son ahora más dinámicas y adaptables que nunca. Ya no vivimos en un mundo en el que las organizaciones puedan confiar en soluciones de seguridad estáticas y basadas en reglas: necesitan herramientas más ágiles, dinámicas y adaptables.

BlackBerry puede ayudarle. Como parte de BlackBerry Spark® Suites-nuestrasolución completa-.CylanceGUARD combina el aprendizaje automático y la inteligencia artificial predictiva avanzada para definir y ajustar dinámicamente la política de seguridad en función de cómo y dónde trabajan los usuarios. A través de CylancePERSONA, puede empoderar a sus empleados para que trabajen como y donde lo consideren oportuno, sin dejar de mantener a salvo sus activos más sensibles e importantes.