Comprender la UEBA y su papel en la respuesta a incidentes

Las brechas de seguridad son cada vez más frecuentes en el mundo digital. UEBA ayuda a las organizaciones a detectar y responder a estos incidentes.

El análisis del comportamiento de usuarios y entidades (UEBA) se conocía anteriormente como análisis del comportamiento de usuarios (UBA). Es una solución de ciberseguridad que utiliza la analítica para comprender cómo se comportan normalmente los usuarios (humanos) y las entidades (dispositivos y servidores en red) de una organización para detectar y responder a la actividad anómala en tiempo real.

UEBA puede identificar y alertar a los analistas de seguridad sobre variaciones de riesgo y comportamientos sospechosos que podrían indicar:

Movimiento lateral
Abuso de cuentas con privilegios
Escalada de privilegios
Compromiso de credenciales o
Amenazas internas

UEBA también evalúa aún más el nivel de amenaza y proporciona una puntuación de riesgo que puede ayudar a establecer una respuesta adecuada.

Siga leyendo para saber cómo funciona UEBA, por qué las organizaciones están cambiando a UEBA, los principales componentes de UEBA, el papel de UEBA en la respuesta a incidentes y las mejores prácticas de UEBA.

¿Cómo funciona el análisis del comportamiento de usuarios y entidades?

El análisis del comportamiento de usuarios y entidades recopila primero información sobre el comportamiento esperado de las personas y máquinas de su organización a partir de repositorios de datos como un lago de datos, un almacén de datos o a través de SIEM.

A continuación, UEBA utiliza enfoques analíticos avanzados para procesar esta información con el fin de determinar y definir con mayor precisión una línea de base de patrones de comportamiento: desde dónde inicia sesión un empleado, su nivel de privilegios, los archivos, los servidores a los que suele acceder, la hora y la frecuencia de acceso, y los dispositivos que utiliza para acceder.

A continuación, UEBA supervisa continuamente las actividades de los usuarios y las entidades, las compara con el comportamiento de la línea de base y decide qué acciones podrían dar lugar a un ataque.

UEBA puede saber cuándo un usuario está realizando sus actividades normales y cuándo se está produciendo un ataque. Aunque un pirata informático pueda acceder a los datos de acceso de un empleado, no podrá imitar sus actividades y comportamientos habituales.

Una solución UEBA tiene tres componentes principales:

Análisis de datos: UEBA recopila y organiza datos de usuarios y entidades para construir un perfil estándar de cómo actúa habitualmente cada usuario. A continuación, se formulan y aplican modelos estadísticos para detectar actividades anómalas y alertar al equipo de seguridad.

Integración de datos: Para que el sistema sea más resistente, UEBA compara los datos obtenidos de diversas fuentes -como registros del sistema, datos de captura de paquetes y otros conjuntos de datos- con los datos recopilados de los sistemas de seguridad existentes.

Presentación de datos: Proceso mediante el cual el sistema UEBA comunica sus hallazgos y la respuesta adecuada. Este proceso suele implicar la emisión de una solicitud para que los analistas de seguridad investiguen un comportamiento inusual.

El papel de UEBA en la respuesta a incidentes

Los análisis del comportamiento de usuarios y entidades utilizan el aprendizaje automático y el aprendizaje profundo para supervisar y analizar el comportamiento habitual de los humanos y las máquinas de su organización.

Si se produce una desviación del patrón habitual, el sistema UEBA la detecta y realiza un análisis que determina si el comportamiento inusual supone una amenaza real o no.

UEBA ingiere datos de diferentes fuentes de registro, como una base de datos, Windows AD, VPN, proxy, insignia, archivos y puntos finales para realizar este análisis. Utilizando estas entradas y el comportamiento aprendido, UEBA puede fusionar la información para componer una puntuación final para la clasificación de riesgos y enviar un informe detallado a los analistas de seguridad.

Por ejemplo, UEBA puede analizar a un empleado que entra por VPN desde África por primera vez. El hecho de que el comportamiento del empleado sea anormal no significa que sea una amenaza; el usuario puede estar simplemente de viaje. Sin embargo, si el mismo empleado del departamento de recursos humanos accede de repente a la subred de finanzas, UEBA reconocería las actividades del empleado como sospechosas y alertaría al equipo de seguridad.

He aquí otro escenario relacionable.

Harry, un empleado del Hospital Mount Sinai de Nueva York, está desesperado por conseguir dinero. Ese día en concreto, Harry espera a que todo el mundo salga de la oficina y descarga información confidencial de los pacientes en un dispositivo USB a las 7 de la tarde. Su intención es vender los datos robados en el mercado negro por un alto precio.

Por suerte, el hospital Mount Sinai utiliza una solución UEBA, que supervisa el comportamiento de cada usuario y entidad dentro de la red del hospital.

Aunque Harry tiene permiso para acceder a la información de los pacientes, el sistema UEBA aumenta su puntuación de riesgo cuando detecta una desviación de sus actividades habituales, que suelen consistir en ver, crear y editar historiales de pacientes entre las 9 de la mañana y las 5 de la tarde.

Cuando Harry intenta acceder a la información a las 7 de la tarde, el sistema identifica irregularidades en el patrón y el horario y le asigna una puntuación de riesgo.

Puede configurar su sistema UEBA para que simplementecree una alerta para que el equipo de seguridad sugiera una investigación más a fondo, o puede configurarlo para que tome medidas inmediatas, como cortar automáticamente la conectividad a la red de ese empleado debido a la sospecha de ciberataque.

¿Necesito una solución UEBA?

Una solución UEBA es esencial para las organizaciones porque los piratas informáticos están llevando a cabo ataques cada vez más sofisticados y difíciles de detectar. Esto es especialmente cierto en los casos en los que la amenaza procede del interior.

Según estadísticas recientes sobre ciberseguridad, más del 34% de las empresas se ven afectadas por amenazas internas en todo el mundo. Y además, el 85% de las empresas afirman que es difícil cuantificar el coste real de un ataque interno.

Como resultado, los equipos de seguridad están cambiando hacia enfoques más novedosos de detección y respuesta a incidentes (IR). Para equilibrar y potenciar sus sistemas de seguridad, los analistas de seguridad están fusionando tecnologías como el análisis del comportamiento de usuarios y entidades (UEBA) con los SIEM convencionales y otros sistemas de prevención heredados.

UEBA le proporciona un sistema de detección de amenazas internas más potente que otras soluciones de seguridad tradicionales. Supervisa no sólo los comportamientos humanos anómalos, sino también los movimientos laterales sospechosos. UEBA también rastrea las actividades en sus servicios en la nube, dispositivos móviles y dispositivos del Internet de las cosas.

Un sofisticado sistema UEBA ingiere datos de todas las fuentes de registro y elabora un informe detallado del ataque para sus analistas de seguridad. Esto ahorra a su equipo de seguridad el tiempo dedicado a revisar innumerables registros para determinar los daños reales debidos a un ataque.

Estos son algunos de los muchos casos de uso de UEBA.

Los 6 principales casos de uso de UEBA

#1. UEBA detecta el abuso de privilegios internos cuando los usuarios realizan actividades de riesgo fuera del comportamiento normal establecido.

#2. UEBA fusiona la información sospechosa procedente de distintas fuentes para crear una puntuación de riesgo para su clasificación.

#3. UEBA realiza la priorización de incidentes reduciendo los falsos positivos. Elimina la fatiga de alertas y hace posible que los equipos de seguridad se centren en las alertas de alto riesgo.

#4. UEBA evita la pérdida y la exfiltración de datos porque el sistema envía alertas cuando detecta que se mueven datos sensibles dentro de la red o se transfieren fuera de ella.

#5. UEBA ayuda a detectar el movimiento lateral de piratas informáticos dentro de la red que puedan haber robado las credenciales de acceso de los empleados.

#6. UEBA también proporciona respuestas automatizadas a incidentes, permitiendo a los equipos de seguridad responder a incidentes de seguridad en tiempo real.

Cómo UEBA mejora UBA y los sistemas de seguridad heredados como SIEM

UEBA no sustituye a otros sistemas de seguridad, sino que representa una mejora significativa utilizada junto a otras soluciones para una ciberseguridad más eficaz. UEBA se diferencia de los análisis del comportamiento de los usuarios (UBA) en que UEBA incluye «Entidades» y «Eventos» como servidores, enrutadores y puntos finales.

Una solución UEBA es más completa que UBA porque supervisa los procesos no humanos y las entidades de las máquinas para identificar con mayor precisión las amenazas.

SIEM significa información de seguridad y gestión de eventos. El SIEM tradicional heredado puede no ser capaz de detectar amenazas sofisticadas por sí mismo porque no está diseñado para supervisar las amenazas en tiempo real. Y teniendo en cuenta que los piratas informáticos a menudo evitan los simples ataques puntuales y, en su lugar, realizan una cadena de ataques sofisticados, pueden pasar desapercibidos para las herramientas tradicionales de detección de amenazas como SIEM durante semanas o incluso meses.

Una solución UEBA sofisticada aborda esta limitación. Los sistemas UEBA analizan los datos almacenados por SIEM y trabajan conjuntamente para supervisar las amenazas en tiempo real, lo que le permite responder a las brechas rápidamente y sin esfuerzo.

Por lo tanto, al fusionar las herramientas UEBA y SIEM, las organizaciones pueden ser mucho más eficaces en la detección y el análisis de amenazas, abordar las vulnerabilidades con rapidez y evitar los ataques.

Mejores prácticas de análisis del comportamiento de usuarios y entidades

He aquí cinco mejores prácticas para el análisis del comportamiento de los usuarios que dan una idea de las cosas que hay que hacer cuando se construye una línea de base para el comportamiento de los usuarios.

#1. Defina los casos de uso

Defina los casos de uso que desea que identifique su solución UEBA. Pueden ser la detección del abuso de cuentas privilegiadas, el compromiso de credenciales o las amenazas internas. Definir los casos de uso le ayuda a determinar qué datos recopilar para la supervisión.

#2. Defina las fuentes de datos

Cuantos más tipos de datos puedan manejar sus sistemas UEBA, más precisa será la línea de base. Algunas fuentes de datos son los registros del sistema o los datos de recursos humanos, como el historial de rendimiento de los empleados.

#3. Defina los comportamientos sobre los que se recopilarán los datos

Esto podría incluir las horas de trabajo de los empleados, las aplicaciones y dispositivos a los que acceden con frecuencia y los ritmos de tecleo. Con estos datos, podrá comprender mejor las posibles razones de los falsos positivos.

#4. Fije una duración para establecer la línea de base

A la hora de determinar la duración de su periodo de establecimiento de la línea de base, es esencial tener en cuenta los objetivos de seguridad de su empresa y las actividades de los usuarios.

El periodo de establecimiento de la línea de base no debe ser ni demasiado corto ni demasiado largo. Esto se debe a que es posible que no pueda recopilar la información correcta si finaliza la duración de la línea de base demasiado rápido, lo que daría lugar a una alta tasa de falsos positivos. Por otro lado, algunas actividades maliciosas pueden pasar por normales si tarda demasiado en recopilar la información de la línea de base.

#5. Actualice regularmente sus datos de línea de base

Puede que necesite reconstruir sus datos de línea de base con regularidad porque las actividades de los usuarios y las entidades cambian todo el tiempo. Un empleado puede ser ascendido y cambiar sus tareas y proyectos, su nivel de privilegios y sus actividades. Los sistemas UEBA pueden configurarse automáticamente para recopilar datos y ajustar los datos de referencia cuando se produzcan cambios.

Palabras finales

A medida que dependemos cada vez más de la tecnología, las amenazas a la ciberseguridad son cada vez más complejas. Una gran empresa debe asegurar sus sistemas que contienen datos sensibles propios y de sus clientes para evitar brechas de seguridad a gran escala. UEBA ofrece un sistema de respuesta a incidentes en tiempo real que puede prevenir los ataques.

Mary Manzi
Colaborador
- LinkedIn
Mary Manzi is a HubSpot-certified cybersecurity content writer who writes primarily cybersecurity news-related articles. Mary feels that given the current global scenario, security threats and data breaches are what her readers should be aware of and know how to handle, which is why she educates them on the same through her writing.