¿Qué es el análisis del comportamiento del usuario (UBA)?

Las herramientas de UBA pueden detectar cuándo los usuarios individuales hacen cosas que normalmente no harían, como iniciar sesión desde una nueva dirección IP o ver datos confidenciales con los que normalmente no trabajan.

Es posible que estas anomalías menores no activen otras herramientas de monitoreo de red. Sin embargo, UBA puede determinar que esta actividad es anormal para este usuario específico y alertar al equipo de seguridad.

Debido a que pueden detectar comportamientos sutilmente sospechosos, las herramientas UBA pueden ayudar a los centros de operaciones de seguridad (SOC) a detectar ataques evasivos, como amenazas internas, amenazas persistentes avanzadas y piratas informáticos que usan credenciales robadas.

Esta capacidad es importante para los SOC hoy en día. El abuso de cuentas válidas es la forma más común en que los delincuentes cibernéticos irrumpen en las redes, según el IBM X-Force Threat Intelligence Index.

Las herramientas y técnicas de UBA se emplean en diversos campos. Por ejemplo, los especialistas en marketing y los diseñadores de productos a menudo rastrean los datos de comportamiento de los usuarios para comprender cómo interactúan las personas con aplicaciones y sitios web. Sin embargo, en ciberseguridad, UBA se emplea principalmente para la detección de amenazas.

Definido por primera vez por la firma de analistas Gartner en 2015, el analytics de comportamiento de usuarios y entidades (UEBA) es una clase de herramientas de seguridad que evolucionó a partir de UBA.

Al igual que UBA, las herramientas UEBA monitorear la actividad de la red, establecen líneas de base para comportamientos normales y detectan desviaciones de esas normas. La diferencia clave es que la UBA sólo hace un seguimiento de los usuarios humanos, mientras que los sistemas UEBA también hacen un seguimiento de la actividad y las métricas de entidades no humanas, como aplicaciones y dispositivos.

Existe cierto debate sobre si los términos son intercambiables. Algunas compañías, como la IDC, sostienen que se trata de clases distintas de tecnología.¹ Por otro lado, el ex analista de Gartner, Anton Chuvakin, dijo que considera que UBA y UEBA son aproximadamente sinónimos.

En cualquier caso, centrar en los usuarios es lo que separa a UBA y UEBA de herramientas de seguridad similares, como la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta de endpoints (EDR). Estas herramientas permiten a los equipos de seguridad comprender y analizar la actividad del sistema a nivel de usuario individual. El seguimiento de entidades no humanas puede agregar contexto, pero no es necesariamente el propósito principal de estas herramientas.

O, para citar a Chuvakin: "'U' es imprescindible", pero "ir más allá de 'U' a otra 'E' no lo es".

Las herramientas de analytics del comportamiento del usuario recopilan continuamente datos de usuarios de fuentes de toda la red, que emplean para crear y perfeccionar modelos de referencia del comportamiento del usuario. Las herramientas comparan la actividad del usuario con estas líneas de base en tiempo real. Cuando detectan un comportamiento anómalo que supone un riesgo significativo, alertan a los stakeholders correspondientes.

Las herramientas UBA recopilan datos sobre los atributos del usuario (por ejemplo: roles, licencias, ubicación) y las actividades del usuario (por ejemplo: cambios que realizan en un archivo, sitios que visitan, datos que mueven). Los UBA pueden recopilar esta información de varias fuentes de datos, que incluyen:

• Directorios de usuarios, como Microsoft Active Directory
   

• Registros de tráfico de red de sistemas de detección y prevención de intrusiones (IDPS), enrutadores, VPN y otra infraestructura
   

• Datos de actividad de los usuarios procedentes de aplicaciones, archivos, terminales y bases de datos
   

• Datos de inicio de sesión y autenticación de sistemas de gestión de identidades y accesos
   

• Datos de eventos de SIEM, EDR y otras herramientas de seguridad

Las herramientas de UBA emplean analytics de datos para convertir los datos de los usuarios en modelos de referencia de la actividad normal.

Las herramientas de UBA pueden emplear métodos analíticos básicos, como el modelado estadístico y la coincidencia de patrones. Muchos también emplean analytics avanzados, como inteligencia artificial (IA) y machine learning (ML).

La IA y el ML permiten que las herramientas de UBA analicen conjuntos de datos masivos para crear modelos de comportamiento más precisos. Los algoritmos de machine learning también pueden refinar estos modelos a lo largo del tiempo para que evolucionen junto con los cambios en las operaciones del negocio y los roles de los usuarios.

Las herramientas UBA pueden crear modelos de comportamiento tanto para usuarios individuales como para grupos de usuarios.

Para un usuario individual, el modelo podría tomar nota de cosas como desde dónde inicia sesión el usuario y la cantidad promedio de tiempo que pasa en diferentes aplicaciones.

Para grupos de usuarios, como todos los usuarios de un departamento, el modelo podría tener en cuenta cosas como las bases de datos a las que acceden estos usuarios y los demás usuarios con los que interactúan.

Un usuario individual puede tener varias cuentas de usuario para las diferentes aplicaciones y servicios que utiliza durante un día común de trabajo. Muchas herramientas de UBA pueden aprender a consolidar la actividad de estas cuentas bajo una única identidad de usuario unificada.

La consolidación de la actividad de la cuenta ayuda a los equipos de seguridad a detectar patrones de comportamiento incluso cuando la actividad del usuario se divide en partes dispares de la red.

Luego de crear modelos de referencia, las herramientas de UBA monitorean a los usuarios y comparan su comportamiento con estos modelos. Cuando detectan desviaciones que podrían indicar amenazas potenciales, alertan al equipo de seguridad.

Los UBA pueden detectar anomalías de diferentes maneras, y muchas herramientas de UBA emplean una combinación de métodos de detección.

Algunas herramientas de UBA emplean sistemas basados en reglas en los que los equipos de seguridad definen manualmente las situaciones que deberían activar alertas, como los usuarios que intentan acceder a activos fuera de sus niveles de licencia.

Muchas herramientas de UBA también emplean algoritmos de IA y ML para analizar el comportamiento de los usuarios y detectar anomalías. Con IA y ML, UBA puede detectar desviaciones del comportamiento histórico de un usuario.

Por ejemplo, si un usuario inició sesión en una aplicación solo durante el horario laboral en el pasado y ahora lo hace por las noches y los fines de semana, eso podría indicar una cuenta comprometida.

Las herramientas de UBA también pueden usar IA y ML para comparar a los usuarios con sus pares y detectar anomalías de esa manera.

Por ejemplo, es muy probable que nadie en el departamento de marketing necesite extraer los registros de las tarjetas de crédito de los clientes. Si un usuario de marketing comienza a intentar acceder a esos registros, eso podría indicar un intento de exfiltración de datos.

Además de entrenar algoritmos de IA y ML sobre los comportamientos de los usuarios, las organizaciones pueden usar fuentes de inteligencia de amenazas para enseñar a las herramientas de UBA a detectar indicadores conocidos de actividad maliciosa.

Las herramientas UBA no generan alertas cada vez que un usuario hace algo fuera de lo común. Luego de todo, las personas suelen tener razones legítimas para tener un comportamiento "anómalo". Por ejemplo, un usuario podría compartir datos con una parte previamente desconocida porque está trabajando con un nuevo proveedor por primera vez.

En lugar de marcar eventos individuales, muchas herramientas de UBA asignan a cada usuario una puntuación de riesgo. Cada vez que un usuario hace algo inusual, su puntuación de riesgo aumenta. Cuanto más riesgosa sea la anomalía, mayor será el aumento. Cuando la puntuación de riesgo del usuario supera un determinado umbral, la herramienta UBA alerta al equipo de seguridad.

De esta manera, la herramienta UBA no inunda al equipo de seguridad con anomalías menores. Sin embargo, aún detectaría un patrón de anomalías regulares en la actividad de un usuario, lo que es más probable que indique una amenaza cibernética. Una sola anomalía significativa también podría desencadenar una alerta si representa un riesgo suficientemente alto.

Cuando la puntuación de riesgo de un usuario es lo suficientemente alta, la herramienta UBA alerta al SOC, al equipo de respuesta a incidentes o a otros stakeholders.

Algunas herramientas de UBA tienen paneles dedicados donde los equipos de seguridad pueden monitorear la actividad de los usuarios, rastrear puntuaciones de riesgo y recibir alertas. Muchas herramientas de UBA también pueden enviar alertas a SIEM u otras herramientas de seguridad.

Si bien las herramientas de UBA generalmente no tienen la capacidad de responder a las amenazas directamente, pueden integrarse con otras herramientas que sí lo hacen.

Por ejemplo, algunas plataformas de gestión de identidades y accesos (IAM) emplean datos UBA para la autenticación adaptativa. Si la puntuación de riesgo de un usuario supera un determinado umbral, tal vez porque está iniciando sesión desde un nuevo dispositivo, el sistema IAM podría aplicar factores de autenticación adicionales.

Debido a que se enfocan en la actividad de los usuarios dentro de la red, las herramientas de UBA pueden ayudar a los equipos de seguridad a atrapar actores maliciosos que pasan por sus defensas perimetrales.

Además, al rastrear los patrones a largo plazo en el comportamiento de los usuarios, UBA puede detectar los rastros casi imperceptibles que dejan los ciberataques más sofisticados.

Las herramientas UBA pueden producir falsos positivos y falsos negativos en algunas circunstancias. Las organizaciones pueden mitigar esas posibilidades empleando puntuaciones de riesgo y entrenando algoritmos de IA y ML en los patrones únicos de sus usuarios, pero es posible que no eliminen el riesgo por completo.

Digamos que un usuario comienza a transferir cantidades masivas de datos confidenciales de una nube a otra como parte de una migración planeada. Es posible que el modelo de referencia de la UBA no tenga en cuenta esta actividad aprobada pero rara y, por lo tanto, active las alarmas.

Los falsos negativos surgen cuando una herramienta UBA aprende a tratar las amenazas potenciales como un comportamiento aceptable. Esto puede suceder cuando las anomalías ocurren repetidamente sin corrección.

Por ejemplo, considere un proveedor que muestra las habilidades de detección de amenazas de su UBA simulando filtraciones de datos para los clientes durante demos. La herramienta UBA verá ocurrir la misma filtración una y otra vez. Eventualmente, la herramienta podría determinar que esta filtración es un comportamiento normal, porque ocurre con mucha frecuencia, y dejar de emitir alertas al respecto.

Si bien algunos proveedores ofrecen soluciones UBA independientes, el mercado se está desplazando cada vez más hacia la capacidad de la funcionalidad UBA como integración o complemento de otras herramientas de seguridad. Específicamente, las capacidades de UBA a menudo están integradas en las plataformas SIEM, EDR e IAM.

Los SIEM agregan datos de eventos de seguridad de herramientas de seguridad internas dispares en un único registro y analizan esos datos para detectar actividades inusuales. Muchos SIEMS ahora incluyen capacidades UBA o se integran fácilmente con herramientas UBA, lo que puede ayudar a las organizaciones a optimizar sus datos SIEM.

Combinar los datos de comportamiento de los usuarios con los datos de eventos de seguridad puede ayudar a las organizaciones a detectar antes las amenazas y priorizar las anomalías más arriesgadas que deben investigar.

Las UBA complementan las herramientas EDR agregando datos sobre el comportamiento de los usuarios a los datos de actividad de los terminales. Esto proporciona al equipo de seguridad más información sobre lo que hacen los usuarios en sus terminales, lo que puede facilitar la identificación de patrones de comportamiento sospechoso en los dispositivos.

Las organizaciones emplean herramientas de IAM para controlar qué usuarios pueden acceder a qué recursos. Como ya se mencionó, la integración de las herramientas UBA con los sistemas IAM permite a las organizaciones diseñar procesos de autenticación inteligentes y adaptables que refuerzan los requisitos de autenticación a medida que aumenta el puntaje de riesgo de un usuario.