¿Qué es el análisis del comportamiento de usuarios y entidades (UEBA)?

El UEBA es un término acuñado por primera vez por Gartner en 2015 y es una evolución del análisis del comportamiento del usuario (UBA). Mientras que el UBA solo hacía un seguimiento de los patrones de comportamiento del usuario final, el UEBA también monitorea entidades que no son usuarios, como servidores, enrutadores y dispositivos de Internet de las cosas (IoT), para detectar comportamientos anómalos o actividades sospechosas que puedan indicar amenazas o ataques a la seguridad.

El UEBA es particularmente eficaz para identificar amenazas internas (usuarios internos maliciosos o hackers que utilizan credenciales internas comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado.

El UEBA se utiliza en los centros de operaciones de seguridad (SOC) junto con otras herramientas de seguridad empresarial, y la funcionalidad del UEBA a menudo se incluye en soluciones de seguridad empresarial, como información de seguridad y gestión de eventos (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta extendidas (XDR), and gestión de identidad y acceso (IAM).

Las soluciones de UEBA brindan información sobre seguridad mediante análisis de datos y aprendizaje automático. Las herramientas de análisis de comportamiento del sistema de UEBA ingieren y analizan grandes volúmenes de datos de varias fuentes para crear una imagen de referencia de cómo funcionan normalmente los usuarios y las entidades con privilegios. Luego utiliza aprendizaje automático (ML) para ajustar la referencia. A medida que el aprendizaje automático aprende con el tiempo, la solución de UEBA debe recopilar y analizar menos muestras de comportamiento normal para crear una referencia precisa.

Después de modelar los comportamientos de referencia, el UEBA aplica las mismas capacidades avanzadas de análisis y aprendizaje automático a los datos actuales de actividad de usuarios y entidades para identificar desviaciones sospechosas de la referencia en tiempo real. El UEBA evalúa el comportamiento de los usuarios y las entidades mediante el análisis de datos de tantas fuentes empresariales como sea posible: cuanto más, mejor. Estas fuentes suelen incluir las siguientes:

• Soluciones de equipamiento y acceso de redes, como firewalls, enrutadores, VPN y soluciones de IAM.
   

• Herramientas y soluciones de seguridad, como software antivirus/antimalware, EDR, sistemas de detección y prevención de intrusiones (IDPS) y SIEM.
   

• Las bases de datos de autenticación, como Active Directory, contienen información crítica sobre un entorno de red, incluyendo cuentas de usuario, computadoras activas dentro del sistema y las actividades que los usuarios están autorizados a realizar.

• Fuentes y marcos de inteligencia de amenazas, como MITRE ATT&CK, que brindan información sobre amenazas y vulnerabilidades cibernéticas comunes, lo que incluye ataques de día cero, malware, botnets y otros riesgos de seguridad.
   

• Sistemas de planificación de recursos empresariales (ERP) o recursos humanos (RR. HH.) que incluyen información pertinente sobre usuarios que podrían representar una amenaza, como empleados que renunciaron o podrían no estar conformes.

El UEBA utiliza lo que aprende para identificar el comportamiento anómalo y calificarlo en función del riesgo que representa. Por ejemplo, varios intentos fallidos de autenticación en un período breve o patrones anormales de acceso al sistema podrían indicar una amenaza interna y generarían una alerta de calificación baja. Del mismo modo, un usuario que conecta varias unidades USB y participa en patrones de descarga anormales podría indicar la exfiltración de datos y se le asignaría una calificación de riesgo más alta.

El uso de esta métrica de calificación ayuda a los equipos de seguridad a evitar falsos positivos y priorizar las amenazas más significativas, a la vez que documentan y monitorean alertas de bajo nivel con el tiempo que, si se combinan, podrían indicar una amenaza lenta pero grave.

El UEBA ayuda a las empresas a identificar comportamientos sospechosos y fortalece las actividades de prevención de pérdida de datos (DLP). Más allá de estos usos tácticos, el UEBA también puede servir para propósitos más estratégicos, como demostrar el cumplimiento de las normativas sobre datos de usuarios y protección de la privacidad.

Usuarios internos maliciosos: estos atacantes son personas con acceso autorizado e incluso privilegiado a la red corporativa que intentan organizar un ciberataque. Los datos por sí solos, como archivos de registro o registros de eventos, no siempre pueden detectar a estas personas, pero el analytics avanzado sí. Dado que el UEBA proporciona insights sobre usuarios específicos, a diferencia de la dirección IP, puede identificar a usuarios individuales que infringen las políticas de seguridad.

Usuarios internos comprometidos: estos atacantes obtienen acceso a las credenciales de usuarios o dispositivos autorizados a través de esquemas de phishing, ataques de fuerza bruta u otros medios. Las herramientas de seguridad típicas podrían no encontrarlos porque el uso de credenciales legítimas, aunque sean robadas, hace que parezca que el atacante está autorizado. Una vez dentro, estos atacantes hacen movimientos laterales, se mueven por la red y obtienen credenciales nuevas para escalar sus privilegios y alcanzar activos más confidenciales. Si bien estos atacantes pueden usar credenciales legítimas, el UEBA puede detectar su comportamiento anómalo para detener el ataque.

Entidades comprometidas: muchas organizaciones, sobre todo fabricantes y hospitales, utilizan una cantidad significativa de dispositivos conectados, como dispositivos de IoT, a menudo con una configuración de seguridad escasa o nula. La falta de protección convierte a estas entidades en un objetivo ideal para los hackers, quienes pueden apropiarse de estos dispositivos para acceder a fuentes de datos confidenciales, interrumpir operaciones o hacer ataques distribuidos de denegación del servicio (DDoS). El UEBA puede ayudar a identificar comportamientos que indiquen que estas entidades se vieron comprometidas para que las amenazas puedan abordarse antes de que se intensifiquen.

Exfiltración de datos: las amenazas de usuarios internos y los actores maliciosos a menudo buscan robar datos personales, propiedad intelectual o documentos empresariales de estrategia de servidores, computadoras u otros dispositivos comprometidos. El UEBA permite que los equipos de seguridad detecten filtraciones de datos en tiempo real, ya que alerta a los equipos sobre patrones inusuales de descarga y acceso a datos.

Implementación de seguridad de confianza cero: un enfoque de confianza cero de seguridad es aquel que no confía y verifica continuamente a todos los usuarios o entidades, ya sea que estén fuera o dentro de la red. La confianza cero requiere que todos los usuarios y entidades estén autenticados, autorizados y validados antes de que se les otorgue acceso a aplicaciones y datos. Una vez que se otorga el acceso, deben volver a autenticarse, reautorizarse y revalidarse continuamente para mantener o ampliar ese acceso a lo largo de una sesión.

Una arquitectura de confianza cero eficaz requiere la máxima visibilidad de todos los usuarios, dispositivos, activos y entidades en la red. El UEBA brinda a los analistas de seguridad una visibilidad rica y en tiempo real de toda la actividad del usuario final y de la entidad, lo que incluye qué dispositivos intentan conectarse a la red, qué usuarios intentan exceder sus privilegios y más.

Cumplimiento del RGPD: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea impone requisitos estrictos a las organizaciones con el objetivo de proteger los datos confidenciales. Según el RGPD, las empresas deben hacer un seguimiento de a qué datos personales se accede, quién accede, cómo se utilizan y cuándo se eliminan. Las herramientas de UEBA pueden ayudar a las empresas a cumplir con el RGPD, ya que monitorean el comportamiento de los usuarios y los datos confidenciales a los que acceden.

El UEBA, o las capacidades de tipo UEBA, se incluyen en muchas herramientas de seguridad que están disponibles en la actualidad. Si bien se puede usar como un producto independiente, el UEBA debe verse como una herramienta dentro del conjunto integral de herramientas de ciberseguridad. En particular, el UEBA se utiliza a menudo con las siguientes herramientas o se integra en ellas:

Información de seguridad y gestión de eventos (SIEM): los sistemas SIEM agregan datos de eventos de seguridad de las herramientas de seguridad internas dispares en un único registro y analizan esos datos para detectar comportamientos poco comunes y posibles amenazas. El UEBA puede ampliar la visibilidad de SIEM en la red mediante la detección de amenazas de usuarios internos y capacidades de análisis de comportamiento del usuario. En la actualidad, muchas soluciones SIEM incluyen UEBA.

Detección y respuesta de endpoints (EDR): las herramientas de EDR monitorean endpoints del sistema, como computadoras portátiles, impresoras y dispositivos de IoT para detectar signos de comportamiento poco común que puedan indicar una amenaza. Cuando se detectan amenazas, la EDR las controla automáticamente. El UEBA complementa una solución de EDR y a menudo es parte de esta, ya que monitorea el comportamiento de los usuarios en estos endpoints. Por ejemplo, un inicio de sesión sospechoso podría activar una alerta de bajo nivel en la EDR, pero si el UEBA descubre que el endpoint se está utilizando para acceder a información confidencial, la alerta puede elevarse según corresponda y abordarse rápidamente.

Gestión de identidad y acceso (IAM): las herramientas de gestión de identidad y acceso garantizan que las personas y los dispositivos adecuados puedan utilizar las aplicaciones y los datos correspondientes cuando sea necesario. El sistema IAM es proactivo y busca evitar el acceso no autorizado al tiempo que se facilita el acceso autorizado. El UEBA agrega otro nivel de protección, ya que monitorea signos de credenciales comprometidas o el abuso de privilegios por parte de usuarios autorizados.