Dado que los ataques cibernéticos aumentan cada año, es común que las empresas opten por soluciones de seguridad que protejan sus activos, incluidas sus redes y sistemas.
Una solución popular es UEBA, o análisis de comportamiento de usuarios y entidades, una categoría de soluciones que realizan análisis de comportamiento. ¿Cómo funcionan estas herramientas para proteger los activos de tu empresa, incluidas las computadoras y las redes? UEBA es un poderoso conjunto de herramientas de seguridad. Sin embargo, no puedes comprender realmente sus características y funcionalidad sin conocer los conceptos básicos.
En esta publicación tienes una guía completa sobre UEBA, qué es, cómo funciona y mejores prácticas para su aplicación.
Indice
¿Qué es UEBA?
User and Event Behavioral Analytics (UEBA) es una categoría de soluciones de seguridad definida por Gartner en 2015. UEBA utiliza el aprendizaje automático y el aprendizaje profundo para modelar el comportamiento de los usuarios y dispositivos en las redes corporativas. Identifica el comportamiento anormal, determina si tiene implicaciones de seguridad y alerta a los equipos de seguridad.
UEBA mejora las herramientas de seguridad más antiguas, que identificarían incidentes de seguridad mediante análisis estadístico y reglas de correlación predefinidas. Estos métodos fueron efectivos para amenazas conocidas, pero no funcionaron bien para ataques desconocidos y amenazas internas (que parecen ser similares a la actividad habitual de los usuarios). UEBA puede detectar comportamientos sospechosos sin patrones o reglas predefinidos.
UEBA extiende este análisis a «Entidades» y «Eventos» distintos de los usuarios, como enrutadores, servidores y puntos finales. Las soluciones UEBA son más poderosas que los enfoques UBA anteriores, ya que pueden detectar ataques complejos en múltiples usuarios, dispositivos de TI y direcciones IP.
UEBA es ahora un componente muy importante de la seguridad de TI. Estas soluciones pueden reducir drásticamente el tiempo para detectar y responder a ciberataques, detectando amenazas que los productos tradicionales pasan por alto al combinar la visibilidad y el contexto tanto de la nube como de la infraestructura local.
¿Cuál es la diferencia entre UEBA y UBA?
Antes de la aparición de la categoría UEBA actual, Gartner definió User Behavior Analytics (UBA) como una herramienta de ciberseguridad que analiza el comportamiento del usuario en las redes y en otros sistemas informáticos. UBA aplica analítica avanzada para detectar anomalías.
Posteriormente, Gartner actualizó su definición y creó la nueva categoría User Entity and Behavior Analytics (UEBA) que incluye análisis de comportamiento de entidades distintas de los usuarios, como enrutadores, servidores y puntos finales. Las soluciones UEBA son más poderosas, ya que pueden detectar ataques complejos en múltiples usuarios, dispositivos de TI y direcciones IP.
Esencialmente, UEBA extiende UBA al observar patrones y anomalías para otras entidades, como dispositivos y servidores de red, y no solo usuarios individuales.
Un factor importante para el cambio de UBA a UEBA fue la explosión de los dispositivos de Internet de las cosas (IoT), que generan enormes cantidades de datos de sensores. UEBA puede analizar estos datos, observar los dispositivos de IoT individualmente o en grupos de pares e identificar comportamientos sospechosos que puedan sugerir una intención maliciosa.
UEBA también se puede usar para monitorizar una gran cantidad de activos en la nube, que se aprovisionan dinámicamente y se usan de forma remota, lo que dificulta su análisis con herramientas de seguridad tradicionales. Puede mirar los activos basados en la nube y descubrir si, como grupo, están actuando de manera normal o anormal.
¿Para qué se usa?
UEBA es un componente muy importante de la seguridad de TI, que permite:
- Detectar amenazas internas. No es demasiado descabellado imaginar que un empleado, o tal vez un grupo de empleados, pueda volverse deshonesto y robar datos e información utilizando su propio acceso. UEBA puede ayudarte a detectar violaciones de datos, sabotajes, abuso de privilegios y violaciones de políticas realizadas por tu propio personal.
- Detectar cuentas comprometidas. A veces, las cuentas de los usuarios se ven comprometidas. Puede ser que el usuario haya instalado malware en su máquina sin saberlo, o que, en ocasiones, se falsifique una cuenta legítima. UEBA puede ayudar a eliminar a los usuarios engañados y comprometidos antes de que puedan causar un daño real.
- Detecta ataques de fuerza bruta. Los piratas informáticos a veces se dirigen a tus entidades basadas en la nube, así como a sistemas de autenticación de terceros. Con UEBA, puedes detectar intentos de fuerza bruta, lo que te permite bloquear el acceso a estas entidades.
- Detectar cambios en permisos y creación de superusuarios. Algunos ataques involucran el uso de superusuarios. UEBA te permite detectar cuándo se crean superusuarios o si hay cuentas a las que se les otorgaron permisos innecesarios.
- Detectar violación de datos protegidos. Si tienes datos protegidos, no basta con mantenerlos seguros. Debes saber cuándo un usuario accede a estos datos cuando no tiene ninguna razón comercial legítima para acceder a ellos.
¿Cómo funciona?
Los principios básicos detrás de las soluciones UEBA estarán familiarizados con los enfoques de UBA.
El análisis de comportamiento de usuarios y entidades primero recopila información sobre el comportamiento normal de usuarios y entidades de los registros del sistema. Luego, estos sistemas aplican métodos analíticos avanzados para analizar los datos y establecer una línea de base de los patrones de comportamiento del usuario. UEBA luego monitoriza continuamente el comportamiento de la entidad y lo compara con el comportamiento de línea de base para la misma entidad o entidades similares.
El propósito de este análisis es detectar cualquier comportamiento anómalo o instancias en las que existan desviaciones de los patrones «normales». Por ejemplo, si un usuario en particular descarga regularmente 10 MB de archivos todos los días, pero de repente descarga gigabytes de archivos, el sistema podría detectar esta anomalía y alertarlo sobre la posible amenaza a la seguridad.
UEBA comparte esta estructura con UBA, pero también mira entidades. La idea clave es que UEBA amplía el alcance de sus análisis para cubrir procesos no humanos y entidades de máquinas. En resumen, sigue siendo UBA pero mejorado con más contexto de entidades y mejores análisis.
¿Por qué ir más allá del usuario?
Muchas veces tiene sentido no mirar las cuentas de usuarios individuales para detectar comportamientos inusuales. Por ejemplo, los piratas informáticos que han aterrizado en la computadora de una víctima pueden estar aprovechando a varios usuarios para iniciar su post-explotación, digamos, movimiento lateral a otras máquinas.
La entidad más grande en la que centrarse no está en la cuenta, sino en el nivel de la máquina, que luego puede identificarse mediante una dirección IP. En otras palabras, busca actividades inusuales donde el elemento común sea la dirección IP de una estación de trabajo.
O en el caso del software del sistema Windows existente que los piratas informáticos utilizan en un contexto no asociado con el uso normal, la entidad más lógica en la que centrarse es el software en sí.
Componentes
Las soluciones UEBA tienen tres componentes principales que son cruciales para su funcionamiento:
- Data Analytics utiliza datos sobre el comportamiento «normal» de los usuarios y las entidades para crear un perfil de cómo actúan normalmente. A continuación, se pueden aplicar modelos estadísticos para detectar comportamientos inusuales y alertar a los administradores del sistema.
- La integración de datos significa que los sistemas UEBA pueden comparar datos de varias fuentes, como registros, datos de captura de paquetes y otros conjuntos de datos, con los sistemas de seguridad existentes.
- La presentación de datos es el proceso a través del cual los sistemas UEBA comunican sus hallazgos. Por lo general, esto se hace mediante la emisión de una solicitud para que un analista de seguridad investigue un comportamiento inusual.
¿Necesito una solución UEBA?
El auge de UEBA ha sido impulsado por una simple comprensión: las medidas preventivas ya no son suficientes para mantener seguros los sistemas corporativos. Las puertas de enlace web, los cortafuegos, las herramientas de prevención de intrusiones y los sistemas de conexión cifrados como las VPN ya no pueden protegerte contra las intrusiones. Los piratas informáticos ingresarán a tus sistemas en algún momento, y es importante detectarlos tan pronto como eso suceda.
El valor de UEBA, entonces, no es que evite que los piratas informáticos o personas con información privilegiada accedan a sistemas críticos. En cambio, los sistemas UEBA pueden detectar rápidamente cuándo ha sucedido esto y alertar sobre el riesgo.
Decidir si un sistema UEBA es apropiado para ti debe basarse en este principio y en una serie de otras consideraciones. Aquí están:
- Primero, es cierto que UEBA puede reducir su vulnerabilidad a los tipos más comunes de ciberataques. Algunos de estos ataques más comunes incluyen phishing, ingeniería social, ataques de denegación de servicio distribuido (DDoS), malware y ransomware. UEBA te avisará rápidamente si alguno de estos ataques ha tenido éxito.
- Por otro lado, debes tener en cuenta que las herramientas y procesos de UEBA no están destinados a reemplazar los sistemas de monitorización anteriores, sino que deben usarse para complementarlos y mejorar la postura de seguridad general de tu empresa.
- Debido a esto, UEBA siempre debe usarse en combinación con una solución de monitorización perimetral que analiza metadatos de tecnologías perimetrales como DNS, VPN y proxies web para detectar signos de ataque en el perímetro.
- De manera similar, UEBA no reemplaza a Cloud Access Security Blockers (CASB), una aplicación de seguridad que ayuda a las organizaciones a administrar y proteger los datos almacenados en la nube. Se aconseja a las organizaciones que encuentren una solución CASB una que proporcione las capacidades adecuadas para las aplicaciones SaaS y la infraestructura en la nube, y que la utilicen en combinación con UEBA.
La conclusión es que el software UEBA puede alertar eficazmente a los oficiales de seguridad cuando la actividad de referencia dentro de un entorno presenta anomalías, lo que indica un posible ataque. Esto es extremadamente útil, pero no reemplaza una solución integral de detección de amenazas .
Además, UEBA viene con varios pros y contras que tendrán un impacto en si es correcto para su negocio. Veámoslos.
Ventajas
La principal ventaja de UEBA es que te permite detectar automáticamente una amplia gama de ciberataques. Estos incluyen amenazas internas, cuentas comprometidas, ataques de fuerza bruta, la creación de nuevos usuarios y violaciones de datos.
Esto es útil porque los sistemas automatizados pueden reducir drásticamente la cantidad de analistas de seguridad que necesitas emplear. Por el momento, esto será una gran atracción para muchas empresas, porque aunque el mercado de la ciberseguridad sigue siendo fuerte, existe una enorme brecha de habilidades en ciberseguridad.
Debido a que UEBA permite que menos analistas de seguridad hagan más, también puede reducir significativamente tu presupuesto de ciberseguridad . Esta, de nuevo, es una de las principales razones por las que cada vez más empresas utilizan UEBA. La inversión en presupuestos de ciberseguridad aumentó en un 141 por ciento entre 2010 y 2018 , impulsada en gran parte por nuevos enfoques como UEBA.
Inconvenientes
Por otro lado, UEBA tiene algunos inconvenientes, incluso cuando se usa junto con otras herramientas de ciberseguridad.
- El principal inconveniente de UEBA es el coste inicial. Mientras que para las empresas más grandes una inversión en UEBA se amortizará rápidamente, es posible que las empresas más pequeñas no necesiten una solución de monitorización tan compleja. Dado que la mayoría de las soluciones de alojamiento dedicado ya proporcionan controles de acceso de usuario avanzados para sitios web y portales web, las pequeñas empresas que implementan UEBA pueden verlo como una duplicación de tiempo y dinero.
- En segundo lugar, los datos generados por UEBA son más complejos que los generados por sistemas UBA más básicos. Esto puede dificultar la comprensión de los analistas sin la formación necesaria.
- Por último, y para repetir algunos de los puntos anteriores, es importante reconocer que UEBA te ayuda de formas muy específicas, y no sustituye a otros sistemas de ciberseguridad. Te permitirá detectar un comportamiento inusual, pero no hará nada para detener a los intrusos.
UEBA, datos limpios y modelos de amenazas
La pregunta más importante para UEBA, como lo fue para la gestión de eventos de información y sistemas o los sistemas SIEM, es la fuente de datos.
Es muy difícil basar los análisis de seguridad en el registro de eventos de Windows sin procesar. Es un proceso complicado (y potencialmente propenso a errores) correlacionar eventos relacionados del registro del sistema. Además de eso, consume muchos recursos. Hay mejores soluciones que pueden producir historiales de eventos relacionados con archivos más limpios.
Otro problema que plantean los algoritmos UEBA es que, en cierto sentido, comienzan desde cero: tienen que ser entrenados a través de un entrenamiento formal supervisado o sobre la marcha de una manera semi-supervisada.
Pero en el espacio de la seguridad de los datos, tenemos una gran ventaja porque sabemos cómo ocurren la mayoría de los incidentes más críticos. Afortunadamente, la gente de MITRE ha hecho el trabajo pesado y ha organizado muchas de las técnicas y tácticas en varios modelos.
Para UEBA, no necesitamos depender únicamente de las técnicas de ML para «aprender» cuáles son los factores clave para determinar los comportamientos anormales. MITRE y otros nos dicen que, por ejemplo, el movimiento lateral, el acceso a credenciales y la escalada de privilegios son algunos de los métodos conocidos de los atacantes.
Comenzar con estos patrones bien entendidos te da una gran ventaja en la organización de datos de eventos. Esto naturalmente conduce al tema del modelado de amenazas .
UEBA frente a SIEM
La gestión de eventos e información de seguridad, o SIEM, es el uso de un conjunto complejo de herramientas y tecnologías que brinda una visión integral de la seguridad de tu sistema de TI. Utiliza datos e información de eventos, lo que te permite ver patrones y tendencias que son normales y alerta cuando hay tendencias y eventos anómalos. UEBA funciona de la misma manera, solo que usa información de comportamiento del usuario (y entidad) para llegar a lo que es normal y lo que no.
Sin embargo, SIEM se basa en reglas, y los piratas informáticos avanzados pueden evitar o evadir estas reglas fácilmente. Además, las reglas SIEM están diseñadas para detectar de inmediato las amenazas que ocurren en tiempo real, mientras que los ataques avanzados generalmente se llevan a cabo durante meses o años. UEBA, por otro lado, no se basa en reglas. En cambio, utiliza técnicas de puntuación de riesgo y algoritmos avanzados, lo que le permite detectar anomalías a lo largo del tiempo.
Una de las mejores prácticas para la seguridad de TI es utilizar SIEM y UEBA para tener mejores capacidades de seguridad y detección.
Mejores prácticas
Una vez que tengas tu sistema UEBA en funcionamiento, existen algunos principios que pueden ayudarte a garantizar que te mantengas lo más seguro posible y brindes el mejor valor para tu inversión.
Algunos de estos consejos de ciberseguridad son comunes tanto a UEBA como a otros tipos de software de seguridad. La forma en que usas estos sistemas es uno de los elementos más críticos para nivelar su seguridad y esto, a su vez, depende de tus empleados y su conocimiento y uso de las mejores prácticas de ciberseguridad.
Entrena a tu personal
Uno de los elementos más importantes del uso correcto de un sistema UEBA es asegurarte de que tu personal tenga el conocimiento y las habilidades necesarias para trabajar con estos sistemas. Las plantillas de notas de ciberseguridad pueden llevar a casa la importancia de la ciberseguridad para tus empleados, y debes promover la conciencia de seguridad y las mejores prácticas de ciberseguridad durante todo el año. Esto es tan cierto para los sistemas UEBA como para cualquier otro tipo de software de seguridad.
Considera las amenazas internas
Un consejo más específico cuando se trata de trabajar con sistemas UEBA es asegurarse de tener en cuenta todo su perfil de amenazas al crear reglas y políticas para detectar ataques. Una de las principales ventajas de UEBA es que puede detectar amenazas internas con la misma eficacia que las de fuera de tu organización, pero solo si has configurado tu sistema para buscarlas.
Bloquear el acceso
Asegurar tu sistema UEBA, como cualquier otro sistema que utilices, depende de que otorgues los privilegios adecuados a los miembros del personal adecuados. No des acceso a tu sistema UEBA a todos; en cambio, solo los miembros relevantes del equipo deberían poder ver estos datos, y también deberían ser las únicas personas que reciban alertas del sistema.
Ten cuidado con los privilegios en aumento
No consideres las cuentas de usuarios sin privilegios como inofensivas. Los piratas informáticos generalmente apuntarán a estas cuentas y luego intentarán escalar los privilegios para penetrar en sistemas sensibles. Los sistemas UEBA pueden ayudar a detectar la escalada de privilegios no autorizada, y debes configurar tu software para que te avise de cualquier caso.
Utiliza otras herramientas
No trates los procesos y herramientas de UEBA como un sustituto de los sistemas de monitorización básicos como los Sistemas de detección de intrusiones (IDS). Los sistemas UEBA son un complemento de la infraestructura de monitorización tradicional, no un reemplazo para ella.