geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By María Manzi in Seguridad  |  Última actualización: 18 de septiembre de 2021
Comparte en:

Comprensión de UEBA y su papel en la respuesta a incidentes

Respuesta a incidentes de UEBA
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Las brechas de seguridad se han vuelto cada vez más comunes en el mundo digital. UEBA ayuda a las organizaciones a detectar y responder a estos incidentes.

User and Entity Behavior Analytics (UEBA) se conocía anteriormente como User Behavior Analytics (UBA). Es una solución de ciberseguridad que utiliza análisis para comprender cómo se comportan los usuarios (humanos) y las entidades (dispositivos y servidores en red) de una organización para detectar y responder a actividades anómalas en tiempo real.

UEBA puede identificar y alertar a los analistas de seguridad sobre variaciones de riesgo y comportamiento sospechoso que podrían indicar:

  • Movimiento lateral
  • Abuso de cuenta privilegiada
  • Escalada de privilegios
  • Compromiso de credenciales o
  • Amenazas internas

UEBA también evalúa aún más el nivel de amenaza y proporciona una puntuación de riesgo que puede ayudar a establecer una respuesta adecuada.

Siga leyendo para conocer cómo funciona UEBA, por qué las organizaciones están cambiando a UEBA, los componentes principales de UEBA, el papel de UEBA en la respuesta a incidentes y las mejores prácticas de UEBA.

How does User and Entity Behavior Analytics work?

Los análisis de comportamiento de usuarios y entidades primero recopilan información sobre el comportamiento esperado de las personas y las máquinas de su organización a partir de repositorios de datos, como un lago de datos, un almacén de datos o mediante SIEM.

Luego, UEBA utiliza enfoques analíticos avanzados para procesar esta información para determinar y definir aún más una línea base de patrones de comportamiento: desde dónde inicia sesión un empleado, su nivel de privilegio, archivos, servidores a los que acceden con frecuencia, tiempo y frecuencia de acceso, y dispositivos que usan para acceso.

Luego, UEBA monitorea continuamente las actividades de los usuarios y las entidades, las compara con el comportamiento de referencia y decide qué acciones podrían resultar en un ataque.

UEBA puede saber cuándo un usuario realiza sus actividades normales y cuándo está ocurriendo un ataque. Aunque un pirata informático pueden acceder a los datos de inicio de sesión de un empleado, no podrán imitar sus actividades y comportamiento habituales.

Una solución UEBA tiene tres componentes principales:

Analítica de datos: UEBA recopila y organiza datos de usuarios y entidades para construir un perfil estándar de cómo actúa normalmente cada usuario. Luego, se formulan y aplican modelos estadísticos para detectar actividad anómala y alertar al equipo de seguridad.

Integración de datos: Para hacer que el sistema sea más resistente, UEBA compara los datos obtenidos de varias fuentes, como los registros del sistema, los datos de captura de paquetes y otros conjuntos de datos, con los datos recopilados de los sistemas de seguridad existentes.

Presentación de datos: Proceso mediante el cual el sistema UEBA comunica sus hallazgos y la respuesta adecuada. Este proceso generalmente implica emitir una solicitud para que los analistas de seguridad investiguen un comportamiento inusual.

The role of UEBA in incident response

Uso de análisis de comportamiento de usuarios y entidades máquina de aprendizaje y aprendizaje profundo para monitorear y analizar el comportamiento habitual de humanos y máquinas en su organización.

Si hay una desviación del patrón regular, el sistema UEBA lo detecta y realiza un análisis que determina si el comportamiento inusual representa una amenaza real o no.

UEBA ingiere datos de diferentes fuentes de registro, como una base de datos, Windows AD, VPN, proxy, insignia, archivos y puntos finales para realizar este análisis. Usando estas entradas y el comportamiento aprendido, UEBA puede fusionar la información para formar una puntuación final para la clasificación de riesgo y enviar un informe detallado a los analistas de seguridad.

Por ejemplo, UEBA puede ver a un empleado que llega a través de una VPN desde África por primera vez. El hecho de que el comportamiento del empleado sea anormal no significa que sea una amenaza; el usuario puede estar simplemente viajando. Sin embargo, si el mismo empleado del departamento de recursos humanos accede repentinamente a la subred financiera, UEBA reconocería las actividades del empleado como sospechosas y alertaría al equipo de seguridad.

Aquí hay otro escenario identificable.

Harry, un empleado del Hospital Mount Sinai de Nueva York, está desesperado por conseguir dinero. En este día en particular, Harry espera a que todos salgan de la oficina y luego descarga la información confidencial de los pacientes a un dispositivo USB a las 7 pm. Tiene la intención de vender los datos robados en el mercado negro por un dólar alto.

Afortunadamente, Mount Sinai Hospital utiliza una solución UEBA, que monitorea el comportamiento de cada usuario y entidad dentro de la red del hospital.

Aunque Harry tiene permiso para acceder a la información del paciente, el sistema UEBA aumenta su puntuación de riesgo cuando detecta una desviación de sus actividades habituales, que normalmente implican ver, crear y editar registros de pacientes entre las 9 a. M. Y las 5 p. M.

Cuando Harry intenta acceder a la información a las 7 pm, el sistema identifica irregularidades en el patrón y el tiempo y asigna una puntuación de riesgo.

Puede configurar su sistema UEBA para simplica crear una alerta para que el equipo de seguridad sugiera una mayor investigación, o puede configurarlo para que tome medidas inmediatas, como apagar automáticamente la conectividad de red para ese empleado debido a la sospecha de ciberataque.

Do I need a UEBA solution?

Una solución UEBA es esencial para las organizaciones porque los piratas informáticos están llevando a cabo ataques más sofisticados que son cada vez más difíciles de detectar. Esto es especialmente cierto en los casos en que la amenaza proviene del interior.

Según estadísticas recientes de ciberseguridad, más de 34% de las empresas se ven afectadas por amenazas internas en todo el mundo. Además, el 85% de las empresas dicen que es difícil cuantificar el costo real de un ataque interno.

Como resultado, los equipos de seguridad están cambiando hacia enfoques más nuevos de detección y respuesta a incidentes (IR). Para equilibrar y potenciar su sistemas de seguridad, los analistas de seguridad están fusionando tecnologías como el análisis de comportamiento de usuarios y entidades (UEBA) con SIEM convencionales y otros sistemas de prevención heredados.

UEBA le proporciona un sistema de detección de amenazas internas más potente en comparación con otras soluciones de seguridad tradicionales. Controla no solo el comportamiento humano anómalo, sino también los movimientos laterales sospechosos. UEBA también rastrea actividades en sus servicios en la nube, dispositivos móviles y dispositivos de Internet de las cosas.

Un sofisticado sistema UEBA ingiere datos de todas las diferentes fuentes de registro y crea un informe detallado del ataque para sus analistas de seguridad. Esto le ahorra a su equipo de seguridad el tiempo dedicado a revisar innumerables registros para determinar el daño real debido a un ataque.

Estos son algunos de los muchos casos de uso de UEBA.

Los 6 mejores casos de uso de UEBA

#1. UEBA detecta el abuso de privilegios internos cuando los usuarios realizan actividades de riesgo fuera del comportamiento normal establecido.

#2. UEBA fusiona información sospechosa de diferentes fuentes para crear una puntuación de riesgo para la clasificación de riesgo.

#3. UEBA realiza la priorización de incidentes al reducir los falsos positivos. Elimina la fatiga de las alertas y hace posible que los equipos de seguridad se concentren en las alertas de alto riesgo.

#4. UEBA evita la pérdida de datos y la exfiltración de datos porque el sistema envía alertas cuando detecta datos confidenciales que se mueven dentro de la red o se transfieren fuera de la red.

#5. UEBA ayuda a detectar el movimiento lateral de los piratas informáticos dentro de la red que pueden haber robado las credenciales de inicio de sesión de los empleados.

#6. UEBA también proporciona respuestas automatizadas a incidentes, lo que permite a los equipos de seguridad responder a los incidentes de seguridad en tiempo real.

Cómo UEBA mejora la UBA y los sistemas de seguridad heredados como SIEM

UEBA no reemplaza a otros sistemas de seguridad, pero representa una mejora significativa junto con otras soluciones para una ciberseguridad más eficaz. UEBA se diferencia del análisis del comportamiento del usuario (UBA) en que UEBA incluye "Entidades" y "Eventos" como servidores, enrutadores y puntos finales.

Una solución UEBA es más completa que UBA porque monitorea procesos no humanos y entidades de máquinas para identificar amenazas con mayor precisión.

SIEM significa información de seguridad y gestión de eventos. SIEM heredado tradicional puede no ser capaz de detectar amenazas sofisticadas por sí mismo porque no está diseñado para monitorear amenazas en tiempo real. Y teniendo en cuenta que los piratas informáticos a menudo evitan los ataques simples y únicos y, en cambio, se involucran en una cadena de ataques sofisticados, pueden pasar desapercibidos por las herramientas tradicionales de detección de amenazas como SIEM durante semanas o incluso meses.

Una solución UEBA sofisticada aborda esta limitación. Los sistemas UEBA analizan los datos almacenados por SIEM y trabajan juntos para monitorear las amenazas en tiempo real, lo que le permite responder a las brechas de forma rápida y sin esfuerzo.

Por lo tanto, al fusionar las herramientas UEBA y SIEM, las organizaciones pueden ser mucho más efectivas en la detección y el análisis de amenazas, abordar las vulnerabilidades rápidamente y evitar ataques.

User and Entity Behaviour Analytics best practices

A continuación, presentamos cinco prácticas recomendadas para el análisis del comportamiento del usuario que brindan información sobre las cosas que se deben hacer al crear una línea de base para el comportamiento del usuario.

#1. Definir casos de uso

Defina los casos de uso que desea que identifique su solución UEBA. Estos pueden ser la detección de abuso de cuentas privilegiadas, compromiso de credenciales o amenazas internas. La definición de casos de uso lo ayuda a determinar qué datos recopilar para monitorear.

#2. Definir fuentes de datos

Cuantos más tipos de datos puedan manejar sus sistemas UEBA, más precisa será la línea de base. Algunas fuentes de datos incluyen registros del sistema o datos de recursos humanos, como el historial de desempeño de los empleados.

#3. Definir comportamientos sobre los datos que se recopilarán.

Esto podría incluir las horas de trabajo de los empleados, las aplicaciones y los dispositivos a los que acceden con frecuencia y los ritmos de escritura. Con estos datos en su lugar, puede comprender mejor las posibles razones de los falsos positivos.

#4. Establecer una duración para establecer la línea de base

Al determinar la duración de su período de referencia, es esencial considerar los objetivos de seguridad de su negocio y las actividades de los usuarios.

El período de referencia no debe ser demasiado corto ni demasiado largo. Esto se debe a que es posible que no pueda recopilar la información correcta si finaliza la duración de la línea de base demasiado rápido, lo que da como resultado una alta tasa de falsos positivos. Por otro lado, algunas actividades malintencionadas pueden pasarse a la normalidad si tarda demasiado en recopilar la información de referencia.

#5. Actualice sus datos de referencia con regularidad

Es posible que deba reconstruir sus datos de referencia con regularidad porque las actividades de los usuarios y las entidades cambian todo el tiempo. Un empleado puede ser ascendido y cambiar sus tareas y proyectos, nivel de privilegio y actividades. Los sistemas UEBA se pueden configurar automáticamente para recopilar datos y ajustar los datos de referencia cuando ocurren cambios.

Palabras finales

A medida que dependemos cada vez más de la tecnología, amenazas de ciberseguridad son cada vez más complejos. Una gran empresa debe proteger sus sistemas que contienen datos confidenciales propios y de sus clientes para evitar brechas de seguridad a gran escala. UEBA ofrece un sistema de respuesta a incidentes en tiempo real que puede prevenir ataques.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder