¿Qué es el análisis del comportamiento del usuario (UBA)?

Las herramientas UBA pueden detectar cuándo los usuarios individuales hacen cosas que normalmente no harían, como iniciar sesión desde una nueva dirección IP o ver datos confidenciales con los que normalmente no trabajan.

Es posible que estas anomalías menores no activen otras herramientas de monitorización de red. Sin embargo, UBA puede determinar que esta actividad es anormal para este usuario específico y alertar al equipo de seguridad.

Dado que pueden detectar comportamientos sutilmente sospechosos, las herramientas UBA pueden ayudar a los centros de operaciones de seguridad (SOC) a detectar ataques evasivos como amenazas internas, amenazas persistentes avanzadas y hackers que utilizan credenciales robadas.

Esta capacidad es importante para los SOC hoy en día. El abuso de cuentas válidas es la forma más común en que los ciberdelincuentes irrumpen en las redes, según el IBM X-Force Threat Intelligence Index.

Las herramientas y técnicas de UBA se utilizan en diversos campos. Por ejemplo, los profesionales del marketing y los diseñadores de productos suelen rastrear los datos de comportamiento de los usuarios para comprender cómo interactúan con las aplicaciones y los sitios web. Sin embargo, en ciberseguridad, UBA se utiliza principalmente para la detección de amenazas.

Definido por primera vez por la firma de analistas Gartner en 2015, el análisis del comportamiento de usuarios y entidades (UEBA) es una clase de herramientas de seguridad que evolucionó a partir de UBA.

Al igual que UBA, las herramientas UEBA monitorizan la actividad de la red, establecen líneas de base para comportamientos normales y detectan desviaciones de esas normas. La diferencia clave es que UBA solo rastrea a los usuarios humanos, mientras que los sistemas UEBA también rastrean la actividad y las métricas de entidades no humanas, como aplicaciones y dispositivos.

Existe cierto debate sobre si los términos son intercambiables. Algunas empresas, como IDC, sostienen que se trata de clases distintas de tecnología.¹ Por otro lado, el antiguo analista de Gartner Anton Chuvakin ha dicho que considera que UBA y UEBA son prácticamente sinónimos.

De todos modos, el enfoque en los usuarios es lo que diferencia a UBA y UEBA de herramientas de seguridad similares como la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta de endpoints (EDR). Estas herramientas permiten a los equipos de seguridad comprender y analizar la actividad del sistema a nivel de usuario individual. El seguimiento de entidades no humanas puede añadir contexto, pero no es necesariamente el propósito principal de estas herramientas.

O citando a Chuvakin: "'U' es imprescindible", pero "ir más allá de 'U' a otra 'E' no lo es".

Las herramientas de análisis del comportamiento de los usuarios recopilan continuamente datos de los usuarios procedentes de fuentes de toda la red, que utilizan para crear y perfeccionar modelos de referencia del comportamiento del usuario. Las herramientas comparan la actividad de los usuarios con estas líneas de base en tiempo real. Cuando detectan un comportamiento anómalo que supone un riesgo importante, alertan a las partes interesadas.

Las herramientas de UBA recopilan datos sobre los atributos de los usuarios (por ejemplo: roles, permisos, ubicación) y las actividades de los usuarios (por ejemplo: cambios que realizan en un archivo, sitios que visitan, datos que mueven). Los UBA pueden recopilar esta información de varias fuentes de datos, que incluyen:

• Directorios de usuario, como Microsoft Active Directory
   

• Registros de tráfico de red de sistemas de detección y prevención de intrusiones (IDPS), enrutadores, VPN y otras infraestructuras
   

• Datos de actividad de los usuarios de aplicaciones, archivos, endpoints y bases de datos
   

• Datos de inicio de sesión y autenticación de los sistemas de gestión de identidades y accesos
   

• Datos de eventos de SIEM, EDR y otras herramientas de seguridad

Las herramientas UBA utilizan el análisis de datos para convertir los datos de los usuarios en modelos de referencia de la actividad normal.

Las herramientas UBA pueden utilizar métodos analíticos básicos como el modelado estadístico y la coincidencia de patrones. Muchos también utilizan análisis avanzados, como la inteligencia artificial (IA) y el machine learning (ML).

La IA y el ML permiten que las herramientas UBA analicen conjuntos de datos masivos para crear modelos de comportamiento más precisos. Los algoritmos de machine learning también pueden perfeccionar estos modelos con el tiempo para que evolucionen junto con los cambios en las operaciones empresariales y los roles de los usuarios.

Las herramientas UBA pueden crear modelos de comportamiento tanto para usuarios individuales como para grupos de usuarios.

Para un usuario individual, el modelo puede tomar nota de cosas como desde dónde inicia sesión el usuario y la cantidad promedio de tiempo que pasa en diferentes aplicaciones.

Para grupos de usuarios, como todos los usuarios de un departamento, el modelo podría tener en cuenta cosas como las bases de datos a las que acceden estos usuarios y los otros usuarios con los que interactúan.

Un usuario individual puede tener varias cuentas de usuario para las diferentes aplicaciones y servicios que utiliza durante un día de trabajo típico. Muchas herramientas de UBA pueden aprender a consolidar la actividad de estas cuentas bajo una única identidad de usuario unificada.

La consolidación de la actividad de las cuentas ayuda a los equipos de seguridad a detectar patrones de comportamiento incluso cuando la actividad de los usuarios se divide en partes dispares de la red.

Tras crear los modelos de referencia, las herramientas de UBA supervisan a los usuarios y comparan su comportamiento con estos modelos. Cuando detectan desviaciones que podrían indicar posibles amenazas, alertan al equipo de seguridad.

Los UBA pueden detectar anomalías de diferentes maneras, y muchas herramientas de UBA utilizan una combinación de métodos de detección.

Algunas herramientas de UBA utilizan sistemas basados en reglas en los que los equipos de seguridad definen manualmente las situaciones que deben activar alertas, como los usuarios que intentan acceder a activos fuera de sus niveles de permiso.

Muchas herramientas de UBA también utilizan algoritmos de IA y ML para analizar el comportamiento de los usuarios y detectar anomalías. Con IA y ML, UBA puede detectar desviaciones del comportamiento histórico de un usuario.

Por ejemplo, si un usuario ha iniciado sesión en una aplicación solo durante las horas de trabajo en el pasado y ahora inicia sesión por la noche y los fines de semana, eso podría indicar una cuenta comprometida.

Las herramientas UBA también pueden utilizar IA y ML para comparar a los usuarios con sus pares y detectar anomalías de esa manera.

Por ejemplo, es muy probable que nadie en el departamento de marketing necesite extraer registros de tarjetas de crédito de clientes. Si un usuario de marketing comienza a intentar acceder a esos registros, eso podría indicar un intento de exfiltración de datos.

Además de entrenar algoritmos de IA y ML sobre los comportamientos de los usuarios, las organizaciones pueden utilizar fuentes de inteligencia de amenazas para enseñar a las herramientas UBA a detectar indicadores conocidos de actividad maliciosa.

Las herramientas UBA no generan alertas cada vez que un usuario hace algo fuera de lo común. Después de todo, las personas suelen tener razones legítimas para tener un comportamiento "anómalo". Por ejemplo, un usuario puede compartir datos con una parte previamente desconocida porque está trabajando con un nuevo proveedor por primera vez.

En lugar de marcar eventos individuales, muchas herramientas UBA asignan a cada usuario una puntuación de riesgo. Cada vez que un usuario hace algo inusual, su puntuación de riesgo aumenta. Cuanto más arriesgada sea la anomalía, mayor será el aumento. Cuando la puntuación de riesgo del usuario supera un determinado umbral, la herramienta UBA alerta al equipo de seguridad.

De esta manera, la herramienta UBA no satura al equipo de seguridad con anomalías menores. Sin embargo, aún así detectaría un patrón de anomalías regulares en la actividad de un usuario, que es más probable que indique una ciberamenaza. Una sola anomalía significativa también podría activar una alerta si supone un riesgo lo suficientemente alto.

Cuando la puntuación de riesgo de un usuario es lo suficientemente alta, la herramienta UBA alerta al SOC, al Equipo de Respuesta a Incidentes o a otras partes interesadas.

Algunas herramientas UBA tienen paneles dedicados donde los equipos de seguridad pueden monitorizar la actividad de los usuarios, realizar un seguimiento de las puntuaciones de riesgo y recibir alertas. Muchas herramientas UBA también pueden enviar alertas a SIEM u otras herramientas de seguridad.

Si bien las herramientas UBA normalmente no tienen la capacidad de responder directamente a las amenazas, pueden integrarse con otras herramientas que sí la tienen.

Por ejemplo, algunas plataformas de gestión de identidad y acceso (IAM) utilizan datos UBA para la autenticación adaptativa. Si la puntuación de riesgo de un usuario supera un cierto umbral (quizás porque inicia sesión desde un nuevo dispositivo), el sistema IAM podría solicitar factores de autenticación adicionales.

Debido a que se enfocan en la actividad de los usuarios dentro de la red, las herramientas UBA pueden ayudar a los equipos de seguridad a atrapar actores maliciosos que superan sus defensas perimetrales.

Además, al rastrear los patrones a largo plazo en el comportamiento de los usuarios, UBA puede detectar los rastros casi imperceptibles que dejan los  ciberataques más sofisticados.

Las herramientas UBA pueden producir falsos positivos y falsos negativos en algunas circunstancias. Las organizaciones pueden mitigar esas posibilidades mediante el uso de puntuaciones de riesgo y el entrenamiento de algoritmos de IA y ML en los patrones únicos de sus usuarios, pero es posible que no eliminen el riesgo por completo.

Digamos que un usuario comienza a transferir cantidades masivas de datos confidenciales de una nube a otra como parte de una migración planificada. El modelo base de UBA podría no tener en cuenta esta actividad aprobada pero poco común y, por lo tanto, hacer sonar las alarmas.

Los falsos negativos surgen cuando una herramienta UBA aprende a tratar las amenazas potenciales como un comportamiento aceptable. Esto puede suceder cuando las anomalías se producen repetidamente sin corrección.

Por ejemplo, supongamos que un proveedor muestra las habilidades de detección de amenazas de su UBA simulando vulneraciones de datos para los clientes durante las demostraciones. La herramienta UBA verá que se produce la misma vulneración una y otra vez. Eventualmente, la herramienta podría determinar que esta vulneración es un comportamiento normal, porque ocurre con mucha frecuencia, y dejar de emitir alertas al respecto.

Si bien algunos proveedores ofrecen soluciones de UBA independientes, el mercado se inclina cada vez más hacia el suministro de la funcionalidad de UBA como integración o complemento de otras herramientas de seguridad. En concreto, las capacidades de UBA suelen estar integradas en las plataformas SIEM, EDR e IAM.

Los SIEM añaden datos de eventos de seguridad de diferentes herramientas de seguridad internas en un solo registro y analizan esos datos para detectar actividad inusual. Muchos SIEM incluyen ahora funciones de UBA o se integran fácilmente con las herramientas UBA, lo que puede ayudar a las organizaciones a optimizar sus datos de SIEM.

La combinación de los datos sobre el comportamiento de los usuarios con los datos de los eventos de seguridad puede ayudar a las organizaciones a detectar las amenazas antes y a priorizar las anomalías de mayor riesgo que hay que investigar.

Los UBA complementan las herramientas de EDR añadiendo datos de comportamiento de los usuarios a los datos de actividad de los endpoints. Esto da al equipo de seguridad más información sobre lo que hacen los usuarios en sus terminales, lo que facilita la identificación de los patrones de comportamiento sospechoso en los dispositivos.

Las organizaciones utilizan herramientas de IAM para controlar qué usuarios pueden acceder a qué recursos. Como se ha mencionado anteriormente, la integración de las herramientas UBA con los sistemas de IAM permite a las organizaciones diseñar procesos de autenticación inteligentes y adaptativos que refuerzan los requisitos de autenticación a medida que aumenta la puntuación de riesgo del usuario.