Administrador De Red

¿Qué es UEBA (Análisis del comportamiento de usuarios y entidades)?

¿Qué es la UEBA?



Hay muchas formas de mantener segura una red. Los mejores métodos suelen implicar soluciones de software que combaten códigos maliciosos o vigilan intentos de acceso no autorizados desde el exterior. Sin embargo,Un aspecto que a menudo se toma a la ligera o incluso se ignora son los ataques dedentrola red – por los usuarios detrás del firewall.

Este tipo de ataques se pueden frenar utilizando herramientas UEBA.



Bueno, ¿qué es la UEBA?

Análisis del comportamiento de usuarios y entidades (UEBA)es un proceso de ciberseguridad queimplica:

  • Estamos monitorizando los datos de uso y comportamiento normal.de usuarios y entidades.
  • Establecer una línea de baseutilizando estos datos.
  • Seguimiento de sus actividades actuales en tiempo real para detectar cualquier desviación.desde la línea de base.

Luego, estas desviaciones se analizan para encontrar cualquier indicio de actividad maliciosa por parte de un usuario o entidad.



UEBA aprovecha eventos en red(normalmente grandes conjuntos de datos almacenados como registros y pistas de auditoría) para modelar los comportamientos típicos y atípicos de los usuarios y dispositivos en la red.

El proceso utilizaaprendizaje automático,algoritmos,Estadísticas, yanálisis de firmas de amenazassobre datos pasados. Luego se compara con las actividades cotidianas actuales de los usuarios, que luego se clasifican como “normales” o potencialmente reales”.amenazas“.

Como ejemplo, supongamos que un usuario normalmente descarga 15 MB de datos cada día. Si comenzaran a descargar gigabytes de datos de repente, estaría fuera de lo normal y se clasificaría como una desviación que requeriría atención.

Algunas actividades que podrían detectarse utilizando este método incluyencredenciales comprometidas,movimientos lateralesy otras actividades maliciosas.

Un punto crítico a entender aquí sería queUEBA no rastrea eventos de seguridad ni monitorea dispositivos. En cambio,se centra en la redactividadesde usuarios y dispositivos mientras realizan sus negocios. Por tanto, se puede decir queEsta es una herramienta que vigila a los iniciados (generalmente empleados) a quienes les han robado sus credenciales o se han vuelto deshonestos intencionalmente..Además, se utiliza para detener a los titulares de cuentas que ya tienen acceso.a la red y sus activos conectados realicen ataques dirigidos o intenten cometer fraude.Finalmente, también rastrea aplicaciones, dispositivos y servidores.para garantizar que estos usuarios malintencionados no los exploten.

Diferencia entre UBA y UEBA

Antes de la UEBA, teníamosUBA – Análisis del comportamiento del usuario. Este proceso sólo se centró en el aspecto humano; realizaba un seguimiento de los usuarios y nada más.

Ahora,UEBA amplía UBA para incluir entidadescomo enrutadores, puntos finales y servidores. Esto creó una herramienta de seguridad más sólida paradetectar ataques complejos correlacionando las entradas de usuario, dispositivo y dirección IP.

Esta extensión se convirtió en una necesidad cuando se reconoció que, en caso de una amenaza, las entidades también podrían usarse como fuentes de información, además de ayudar a los administradores a identificar con precisión las fuentes de las amenazas.

Esto es aún más importante hoy en día, ya que vemos el aumento de todo tipo de dispositivos conectados que componen lo que ahora llamamos “El internet de las cosas' oIoT. A medida que crece el número de estos dispositivos, también crece el número de posibles puntos de entrada de ataque.

¿Cómo funciona la UEBA?

El proceso UEBA implica conectar actividades de red a usuarios específicos.en lugar de hardware o sus direcciones IP.

La fuente de datos suele ser repositorios de datos generales, como registros y pistas de auditoría, que se almacenan en lagos de datos o almacenes de datos . Los datos de origen también pueden provenir de Información de seguridad y Gestión de eventos ( SIEM ) herramientas.

Nota: UEBA integra información en registros, capturas de paquetes y conjuntos de datos similares entre organizaciones que generalmente son capturados por herramientas SIEM. Es por eso que UEBA y SIEM a menudo se implementan juntos.

Este enfoque único de monitorear los comportamientos humanos y de entidades ofrece una imagen clara de cualquier actividad inusual que las herramientas tradicionales de monitoreo perimetral ni siquiera pueden detectar, y mucho menos señalar, mediante herramientas tradicionales de monitoreo perimetral. Además, incluso las desviaciones más mínimas se pueden configurar para activar alertas de amenazas, lo que permite a los administradores juzgar si realmente es una indicación temprana de una amenaza.

Los datos que se utilizan para el análisis contienen información como:

  • Desde dónde inicia sesión un usuario
  • Los archivos, aplicaciones y servidores que utilizan habitualmente.
  • Los roles y privilegios que se les han asignado.
  • La ubicación, frecuencia y hora de acceso.
  • La conectividad o los dispositivos IoT utilizados para el acceso.

UEBA utiliza estas entradas para identificar ataques no basados ​​en malware, evaluar niveles de amenaza, crear puntuaciones de riesgo y decidir si se debe informar o no a los administradores. La herramienta puede incluso ayudar a guiarlos hacia la respuesta adecuada.

Usando estos datos, UEBA puede atrapar a un culpable que, por ejemplo, obtuvo acceso a la cuenta de un usuario porque no podrá emular exactamente las actividades de sus víctimas.

¿Cuál es el alcance de la UEBA? ¿O qué puede proteger?

Aparte deataques desde dentro de la red de una organización,UEBA también puede monitorear los activos de la nube que se aprovisionan dinámicamente o a los que se accede de forma remota.– algo que sería difícil de hacer usando herramientas de seguridad tradicionales, principalmente si se han implementado localmente, dentro de la red local.

¿Qué atributos analiza la UEBA?

Una buena herramienta UEBAmonitorear varios atributospara ayudarle a detectar y alertar de actividades sospechosas de forma rápida y precisa.Además, la combinación de características permitirá una base de referencia más inclusiva que cubra múltiples características humanas,lo que hará que sea más difícil de engañar.

Algunos atributos esenciales para monitorear incluyen:

  • ComunicaciónImplica realizar un seguimiento de los datos de correo electrónico, chat y VoIP para rastrear a las personas con las que interactúan los usuarios.
  • Sistema– sus huellas digitales y cómo se comportan cuando están conectados es una valiosa fuente de información que puede extraerse de terminales, navegadores, archivos compartidos y hábitos de inicio de sesión; Estos datos también se pueden eliminar de los SIEM.
  • Recursos humanos– La motivación detrás de cada actividad sospechosa y por qué puede ser un intento malicioso se puede extraer de las revisiones de desempeño de los empleados de RR.HH. y de Active Directory (AD).
  • Físico datos de localización– el seguimiento de los movimientos físicos en las instalaciones puede proporcionar información valiosa; esto se puede extraer monitoreando los datos de las credenciales, las ubicaciones de inicio de sesión y los historiales de viajes.

Como podemos ver, reunir todos estos conjuntos de datos puede ofrecer una imagen clara sobre un usuario, sus actividades y, si corresponde, sus intenciones maliciosas.

¿Cómo se construye una línea de base?

Una pregunta que es necesario plantearse aquí es cómo construir la línea de base que ayudará a realizar un seguimiento de un usuario. Bueno, hay algunos pasos a seguir:

  • Definición de casos de uso– debe quedar claro, desde el principio, qué se va a seguir. Algunos ejemplos serían detectar usuarios malintencionados, cuentas comprometidas, amenazas de seguridad conocidas o una combinación de todo.
  • Definición de fuentes de datos– aquí es donde se determinan los orígenes de los datos para construir los perfiles de comportamiento de cada usuario. Ejemplos de fuentes incluyen registros, correos electrónicos, plataformas de redes sociales, informes de revisión de recursos humanos, flujos de paquetes de datos de red y SIEM.
  • Definir los comportamientos a monitorear– una solución UEBA debe cubrir tantos atributos como sea posible. Es en este punto que se describen los detalles. Estos podrían ser horarios de oficina, velocidades de escritura, aplicaciones y datos corporativos a los que se accede, sitios web visitados, dinámica del mouse y datos no relacionados con TI, como entradas de recursos humanos sobre los niveles de satisfacción laboral de los empleados.
  • Definición del tiempo de establecimiento de la línea base– aunque los empleados suelen actuar de la misma manera todos los días, factores externos como los días de nómina, las semanas de cierre del presupuesto o la temporada de gripe podrían generar cambios de hábitos en la jornada laboral. Estos factores deben tenerse en cuenta y evitarse al planificar el cronograma de referencia. La recopilación de datos puede tardar entre una semana y 90 días, durante los cuales la UEBA “aprende” sobre los usuarios y establece una línea de base. Los administradores también deberían tener suficiente tiempo para asegurarse de que las líneas de base sean realmente sensatas.
  • Definir políticas y brindar capacitación.– una vez que la solución UEBA esté lista, se deben implementar políticas de seguridad y los usuarios deben ser conscientes de ellas. Cuando sea necesario, se debe brindar capacitación para garantizar que todos sepan qué y cómo acceder a la información a la que sólo están autorizados a tener acceso. Por último, todos deben participar: RR.HH., departamentos legales, administradores, equipos de seguridad y los propios usuarios.
  • Un periodo de prueba– cualquier sistema debe pasar por un período de prueba antes de su introducción en producción. Lo mismo se aplica a la UEBA. Durante el período de prueba, se pueden observar y solucionar errores y discrepancias.
  • Puesta en marcha y seguimiento– una vez que la UEBA esté activa, se requiere una estrecha supervisión para garantizar que todos los sistemas funcionen como se espera. Es posible que sean necesarios ajustes y correcciones durante los primeros meses. En general, la línea de base debe ajustarse para atender cualquier atributo nuevo introducido en la organización, como nuevos horarios, actualizaciones del sistema de seguridad y transferencias de empleados.

Tres pilares de la UEBA

Con base en la información que hemos visto hasta ahora, ahora podemos definir los tres pilares de la UEBA. Estos pilares estipulanque hace una UEBA,como lo hace, yel resultado.

Por tanto, según Gartner, las soluciones UEBA se definen en tres dimensiones:

  • Casos de uso– Las soluciones UEBA monitorean, detectan y reportan actividades maliciosas por parte de usuarios y entidades en una red corporativa. También deberían seguir siendo relevantes en el análisis del monitoreo de hosts confiables, la detección de fraude y el monitoreo de empleados, por ejemplo.
  • Fuentes de datos– una solución UEBA no debe implementarse directamente en la red o incluso en el entorno de TI para que pueda recopilar datos. En cambio, debería extraer los datos de repositorios de datos como lagos de datos, almacenes de datos o mediante un SIEM.
  • Analítica– Las soluciones UEBA deben detectar anomalías utilizando diversos enfoques analíticos que incluyen aprendizaje automático, reglas, modelos estadísticos, firmas de amenazas y más.

¿Cuáles son las ventajas de la UEBA?

Ahora que hemos definido y visto lo que puede hacer una solución UEBA, echemos un vistazo a las ventajas que aporta:

  • Es principalmente una herramienta que puede ayudar a detener muchos ciberataques internos.como cuentas comprometidas, ataques de fuerza bruta, creación no autorizada de nuevas cuentas y filtraciones de datos.
  • Cubre un alcance que la mayoría de las organizaciones suelen ignorar yno pueden ser rastreados por herramientas tradicionales como antivirus o soluciones antimalware: la amenaza interna.
  • La implementación de UEBA reduce el número de analistas de seguridadquiénes necesitan mantener segura una red corporativa; Estas soluciones son automáticas, funcionan las 24 horas del día y envían alertas en tiempo real.
  • Una solución UEBA puede reducir el presupuesto y los gastos generalesrequerido para el mantenimiento de la seguridad cibernética de una organización.
  • Se pueden evitar los errores humanos, causados ​​por los administradores que tienen que examinar manualmente grandes cantidades de datos de actividad.; El análisis y la mitigación de amenazas se pueden realizar en minutos, en tiempo real y con precisión.
  • UEBA es un enfoque de seguridad único en el sentido de que implica la adopción de múltiples sistemas y fuentes de datos.y no ajustarse al seguimiento de reglas de correlación o patrones de ataque predefinidos;la IA siempre está aprendiendo.

¿Existe alguna desventaja al utilizar UEBA?

Sería injusto decir que no existen desventajas al implementar UEBA. Y así, aquí están:

  • UEBA genera datos más complejosque la solución de seguridad tradicional promedio. Por lo tanto,requiere un profesional capacitadoimplementar, ejecutar y monitorear el sistema. El análisis también requiere un ojo experto para evitar sacar conclusiones precipitadas debido a resultados falsos positivos.
  • Aunque es un sistema de seguridad,No basta con proteger un sistema por sí solo. Recordar,solo rastrea los comportamientos humanos y de entidadesy nada más. Algunas organizaciones podrían ver esto como una deficiencia, especialmente cuando consideran la necesidad de software de seguridad adicional, pero no lo es. Simplemente no está destinado a detener ataques, sino simplemente a alertar a usuarios internos malintencionados.

Mejores prácticas de implementación de UEBA

Aquí hay algunos puntos a considerar cuando se busca una implementación exitosa de UEBA:

  • Considere siempre las amenazas tanto dentro como fuera de la red.– todas las políticas, reglas y líneas de base deben considerar a los usuarios ubicados en cualquier lugar.
  • Todas las cuentas deben ser consideradas.– recuerde, los piratas informáticos siempre pueden actualizar sus privilegios para aumentar sus capacidades de acceso.
  • La UEBA debe enviarse a los miembros del equipo de seguridad correspondientes.– no a los propios usuarios ni a otro personal no autorizado, por ejemplo.
  • COMO HEMOS VISTO ARRIBA, el alcance de la UEBA es limitado– Los administradores no deberían desviar su atención de las otras herramientas de seguridad tradicionales.
  • Capacitar a todos los usuariospara minimizar falsos positivos o alertas de activación involuntaria.
  • También,entrenar al personal de seguridadleer los análisis correctamente para evitar sacar conclusiones erróneas.

UEBA es una necesidad

En conclusión, debemos decir que adoptar una solución UEBA es una necesidad en el mundo actual de robo de propiedad intelectual, fugas de tecnología, piratería y violaciones de datos, todo hecho desde adentro. Siempre se ha dicho que los usuarios eran los eslabón más débil en ciberseguridad. Combinar esa información con empleados que albergan intenciones maliciosas hace que sea fácil ver por qué necesitamos este tipo de soluciones.

Por lo tanto, tiene sentido mantener seguros los datos corporativos con la ayuda de las soluciones UEBA. Qué hacer¿pensar? Haznos saber; déjanos un comentario.

^