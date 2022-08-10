El UEBA ayuda a las empresas a identificar comportamientos sospechosos y fortalece las actividades de prevención de pérdida de datos (DLP). Más allá de estos usos tácticos, el UEBA también puede servir para propósitos más estratégicos, como demostrar el cumplimiento de las normativas sobre datos de usuarios y protección de la privacidad.

Casos de uso tácticos

Usuarios internos maliciosos: son personas con acceso autorizado e incluso privilegiado a la red empresarial que intentan montar un ataque cibernético. Los datos por sí solos, como archivos de registro o registros de eventos, no siempre pueden detectar a estas personas, pero el análisis avanzado sí. Dado que el UEBA proporciona información sobre usuarios específicos, a diferencia de la dirección IP, puede identificar a usuarios individuales que infringen las políticas de seguridad.

Usuarios internos comprometidos: estos atacantes obtienen acceso a las credenciales de usuarios o dispositivos autorizados a través de esquemas de phishing, ataques de fuerza bruta u otros medios. Las herramientas de seguridad típicas podrían no encontrarlos porque el uso de credenciales legítimas, aunque sean robadas, hace que parezca que el atacante está autorizado. Una vez dentro, estos atacantes hacen movimientos laterales, se mueven por la red y obtienen credenciales nuevas para escalar sus privilegios y alcanzar activos más confidenciales. Si bien estos atacantes pueden usar credenciales legítimas, el UEBA puede detectar su comportamiento anómalo para detener el ataque.

Entidades comprometidas: muchas organizaciones, sobre todo fabricantes y hospitales, utilizan una cantidad significativa de dispositivos conectados, como dispositivos de IoT, a menudo con una configuración de seguridad escasa o nula. La falta de protección convierte a estas entidades en un objetivo ideal para los hackers, quienes pueden apropiarse de estos dispositivos para acceder a fuentes de datos confidenciales, interrumpir operaciones o hacer ataques distribuidos de denegación del servicio (DDoS). El UEBA puede ayudar a identificar comportamientos que indiquen que estas entidades se vieron comprometidas para que las amenazas puedan abordarse antes de que se intensifiquen.

Exfiltración de datos: las amenazas de usuarios internos y los actores maliciosos a menudo buscan robar datos personales, propiedad intelectual o documentos empresariales de estrategia de servidores, computadoras u otros dispositivos comprometidos. El UEBA permite que los equipos de seguridad detecten filtraciones de datos en tiempo real, ya que alerta a los equipos sobre patrones inusuales de descarga y acceso a datos.

Casos de uso estratégicos

Implementación de seguridad de zero Trust. Es un enfoque de seguridad de zero trust que nunca confía de forma continua y verifica de forma continua a todos los usuarios o entidades, ya sea que estén fuera o dentro de la red. Específicamente, la zero trust requiere que todos los usuarios y entidades se autentiquen, autoricen y validen antes de que se les otorgue acceso a aplicaciones y datos, y luego vuelvan a autenticarse, autorizarse y validarse de forma continua para mantener o ampliar ese acceso durante una sesión.

Una arquitectura de zero trust eficaz requiere la máxima visibilidad de todos los usuarios, dispositivos, activos y entidades en la red. El UEBA brinda a los analistas de seguridad una visibilidad rica y en tiempo real de toda la actividad del usuario final y de la entidad, lo que incluye qué dispositivos intentan conectarse a la red, qué usuarios intentan exceder sus privilegios y más.

Cumplimiento del RGPD: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea impone requisitos estrictos a las organizaciones con el objetivo de proteger los datos confidenciales. Según el RGPD, las empresas deben hacer un seguimiento de a qué datos personales se accede, quién accede, cómo se utilizan y cuándo se eliminan. Las herramientas de UEBA pueden ayudar a las empresas a cumplir con el RGPD, ya que monitorean el comportamiento de los usuarios y los datos confidenciales a los que acceden.