La supervisión del comportamiento del usuario es un nuevo enfoque para la prevención y detección de amenazas internas. Muchas empresas incluyen una solución de análisis de comportamiento de usuarios y entidades (UEBA) en su programa de amenazas internas. La implementación de dicho programa es obligatoria para cumplir con muchos estándares de la industria (por ejemplo, NIST, HIPAA, PCI DSS, etc.).
En uno de nuestros artículos anteriores, analizamos qué es una solución UEBA. Hoy, hablaremos de cinco niveles de monitoreo del comportamiento del usuario.
¿Qué es UEBA?
El análisis de comportamiento de usuarios y entidades se refiere a la tecnología para perfilar el comportamiento de usuarios y entidades y detectar anomalías. El software UEBA se basa en algoritmos de aprendizaje automático o modelos estadísticos avanzados. Al analizar las acciones de los usuarios y las entidades, este software crea una línea base del comportamiento normal de los usuarios y detecta patrones que conducen a violaciones de ciberseguridad.
Un sistema UEBA le permite llevar su programa de protección contra amenazas internas al siguiente nivel. Aplica las herramientas tradicionales de monitoreo y detección con un enfoque proactivo para la detección de amenazas y la mejora personal constante.
Gartner predice que para 2022, las tecnologías UEBA estarán integradas en el 80% de las soluciones de detección de amenazas y priorización de incidentes.
Nivel 1 - Recopilación de contexto
La primera etapa es la supervisión del comportamiento del usuario y consiste en recopilar datos sobre el sistema, las entidades y los eventos que la solución UEBA necesita analizar.
Cada solución UEBA registra un conjunto de datos único de acuerdo con los casos de uso que cubre. Por ejemplo, el software UEBA podría recopilar la siguiente información sobre la actividad de los usuarios:
• iniciar y cerrar sesión
• solicitudes para acceder a activos sensibles
• sitios web visitados
• aplicaciones iniciadas
• dispositivos USB conectados
• dinámica de pulsación de tecla
Nivel 2 - Detección de amenazas
Después de que una solución de análisis de comportamiento del usuario ha reunido información sobre el comportamiento normal del usuario, UEBA se vuelve útil para la detección de amenazas internas. El análisis de datos permite que el software detecte acciones sospechosas y establezca patrones para varias categorías de usuarios (empleados comunes, usuarios privilegiados, contratistas externos, oficiales de seguridad).
El software UEBA puede ayudar a su estrategia de amenazas internas permitiéndole hacer varias cosas:
• Detectar amenazas basadas en acciones del usuario en tiempo real. Por ejemplo, el módulo UEBA del sistema Ekran analiza las horas de trabajo de cada empleado y conoce los tiempos normales para iniciar y cerrar sesión. Si un usuario intenta iniciar sesión en un momento inusual (por ejemplo, en medio de la noche), Ekran puede notificar a un oficial de seguridad o bloquear este intento.
• Priorizar las alertas de seguridad. Basado en el análisis del comportamiento del usuario, un módulo UEBA crea una lista de acciones sospechosas del usuario. Cuando se integra en un sistema de detección de amenazas o SIEM, un UEBA puede ordenar las alertas basadas en reglas de menor a menor
• Mejorar la eficiencia de la investigación. Comparar el comportamiento normal del usuario con acciones maliciosas que condujeron a una amenaza interna ahorra mucho tiempo a los oficiales de seguridad. Tal comparación le permite determinar qué acción exacta convirtió una amenaza en un ataque.
Nivel 3: Crear un perfil de comportamiento del empleado
En la detección de amenazas internas, los perfiles de comportamiento se utilizan para crear una línea de base del comportamiento del usuario. Esta línea base ayuda al sistema a detectar acciones anormales del usuario. Además, utilizando la línea de base, un oficial de seguridad puede esbozar un retrato de una persona con información maliciosa.
Dicha funcionalidad es útil para anticipar incidentes. También es la base de su programa de monitoreo de comportamiento.
Nivel 4: Obtener una alerta temprana
Los niveles 4 y 5 representan los tipos más potentes de análisis de comportamiento del usuario. Mediante el aprendizaje automático y el análisis estadístico, predicen violaciones de ciberseguridad en función de los datos recopilados. La principal diferencia entre estos niveles radica en cuando la solución UEBA descubre un posible intruso.
Los sistemas de nivel 4 y 5 son útiles para detectar:
• fraude
• exfiltración de datos
• robo de propiedad intelectual
• espionaje
• abuso de privilegios
En el nivel 4, una solución UEBA detecta anomalías en el comportamiento de los empleados que indican una intención maliciosa. Una advertencia temprana significa que se detecta un incidente antes de que ocurra la pérdida de datos, generalmente cuando un atacante solo está planeando acciones maliciosas.
Una solución UEBA puede detectar signos tempranos de intención maliciosa: trabajar hasta tarde sin razón obvia, acceder a datos confidenciales que el empleado no necesitaba antes, conectar varios dispositivos USB
Nivel 5: Prever amenazas internas
En el nivel final, una solución UEBA puede crear un puntaje de riesgo interno para los usuarios mucho antes de que cometan un ataque. Esto se hace sin ningún aporte de un oficial de seguridad. Una predicción de amenazas internas generalmente se basa en:
• el perfil de comportamiento de un usuario
• patrones de ataques internos
• modelos predictivos para varios tipos de ataques
• evaluación del desempeño
• datos proporcionados por RRHH, contabilidad y sistemas legales
Los indicadores de un giro hacia el comportamiento negativo se detectan mejor a través de indicadores psicolingüísticos, como correos electrónicos y mensajes, publicaciones en redes sociales y textos compartidos a través de otros canales.
¿Se puede confiar completamente en ese sistema?
Aunque un UEBA es una herramienta útil para un oficial de seguridad, sus resultados deben verificarse detenidamente antes de tomar cualquier medida. Los resultados falsos positivos son altamente posibles a este nivel. Para disminuir su número, puede:
• proporcionar constantemente el algoritmo con nuevos datos de monitoreo. Cuantos más sistemas corporativos se integren en este proceso, mejores serán los resultados que obtendrá.
• permitir el crecimiento gradual del modelo. A medida que contrata nuevos empleados y crea nuevos puestos de trabajo, se debe permitir que el módulo UEBA cree nuevos perfiles de empleados y los asocie con los existentes.
• Proporcionar al software retroalimentación automática y manual. El algoritmo siempre debe comparar sus predicciones con acciones reales del usuario. Además, un oficial de seguridad debe corregir esta comparación si es necesario.
• Realizar líneas de base a largo y corto plazo. Dicha capacitación enseñará el algoritmo para predecir violaciones usando contextos recientes y pasados.
Conclusión
La supervisión del comportamiento del usuario es efectiva para detectar y prevenir amenazas internas. La combinación con herramientas de seguridad cibernética más tradicionales le proporciona una imagen clara de su red y las acciones de los usuarios.
La elección de un nivel adecuado de monitoreo del comportamiento del usuario depende de los casos de uso que una empresa necesita cubrir. El sistema Ekran está equipado con un amplio conjunto de herramientas para la detección de amenazas internas:
• monitoreo constante de la actividad del usuario y grabación de sesiones
• gestión de identidad y acceso
• alertar sobre eventos sospechosos (además de un módulo UEBA)
Fuente:
https://www.ekransystem.com
Conózcanos:
https://www.optaris.com
Escribanos a
hola@optaris.com