Tabla de contenidos
Definición
El análisis del comportamiento de usuarios y entidades (UEBA, del inglés User and Entity Behavior Analytics) es una potente herramienta de ciberseguridad que detecta comportamientos inusuales a partir de patrones de tráfico en la red. Las acciones de los atacantes varían una vez que comprometen una red, por lo que las organizaciones necesitan una forma de detectar rápidamente la actividad malintencionada para contener la vulneración. El atacante podría robar archivos, almacenar malware en un dispositivo de almacenamiento, consultar bases de datos, tomar el control de los dispositivos de los usuarios o simplemente espiar el tráfico de la red. Se puede controlar toda la actividad de la red, pero cualquier detección positiva debe poder distinguirse de la actividad legítima del usuario para evitar falsos positivos. El UEBA detecta patrones de tráfico inusuales y alerta a los administradores sin interferir en el tráfico legítimo de la red ni en los comportamientos de los usuarios.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
¿Qué es UEBA en ciberseguridad?
Una red informática puede tener miles de dispositivos y usuarios que generan tráfico a diario. La nube, los empleados que trabajan desde casa y las conexiones de cara al público se suman a un entorno rico en objetivos para los atacantes. El tráfico generado por usuarios y dispositivos suele supervisarse en busca de anomalías, pero pocas herramientas supervisan los patrones de comportamiento. UEBA ayuda a los profesionales de la seguridad a identificar anomalías utilizando estadísticas de actividad de referencia y comparándolas con los comportamientos actuales de los usuarios. Estos comportamientos pueden ser legítimos o malintencionados, y una herramienta UEBA distingue los miles de millones de bytes que viajan por la red de los pocos potencialmente malintencionados.
Los análisis son lo que convierte a UEBA en una poderosa herramienta de ciberseguridad. En las antiguas defensas de ciberseguridad, se definían activadores simples para indicar cuándo se accedía a un archivo o cuándo fallaba la autenticación. El UEBA suele utilizar algoritmos de inteligencia artificial (IA) y aprendizaje automático (AM) para determinar si alguna de estas acciones es una autenticación de usuario legítima o la acción de un atacante.
El UEBA tiene diversas funciones en ciberseguridad, entre ellas:
- Detección de amenazas internas: Las amenazas internas suelen ser empleados, pero también pueden incluir a proveedores externos con acceso a la red. Las filtraciones de datos desde dentro pueden ser malintencionadas o involuntarias, por ejemplo, cuando se engaña a un empleado para que sea víctima de un ataque.
- Detección de cuentas comprometidas: Cuando un empleado es víctima del phishing, un atacante utiliza las credenciales robadas para acceder a la red y robar los datos almacenados.
- Detección de ataques de fuerza bruta: Los ataques a cuentas de usuario son habituales en entornos de cara al público en la nube. Un ataque de fuerza bruta puede persistir indefinidamente si no existe algo que lo detenga.
- Detección de un compromiso: Cuando todos los demás sistemas de ciberseguridad no consiguen bloquear a un atacante, un UEBA detendrá a los atacantes que ya están dentro del perímetro y activos en la red.
Sin los sistemas UEBA, las organizaciones serían incapaces de detectar una vulneración de datos y tomar medidas para remediar el compromiso. Cuanto más tiempo tenga acceso un atacante a una red, más datos podrá exfiltrar. La detección de un atacante puede llevar meses, y los sistemas UEBA reducen el tiempo que un atacante tiene acceso a sistemas críticos antes de ser descubierto.
Cómo funciona UEBA
Tras comprometer una red, un atacante suele ejecutar acciones sigilosas para evitar ser detectado. La mayoría de los sistemas de ciberseguridad bloquean el acceso de los atacantes a la red, pero muy pocos sistemas pueden detectar patrones de tráfico sospechosos tras una filtración. La inteligencia UEBA se centra en identificar patrones extraños en función de una línea de base estándar dentro del entorno.
Suponga que tiene archivos con contenido delicado que contienen propiedad intelectual corporativa. Los abogados y otros ejecutivos acceden aleatoriamente a este archivo, pero sólo unas pocas veces al año. Un atacante podría acceder a este archivo de varias formas. La primera forma podría ser una campaña de phishing en la que un atacante robe el nombre de usuario y la contraseña de un abogado. Otro método podría ser un malware en la red que robara los archivos y los enviara a un servidor controlado por el atacante. Un infiltrado podría coger una copia del archivo y enviarla a un correo electrónico externo.
Cualquier actividad realizada por el atacante generaría tráfico. Supongamos que el atacante o el malware en la red escanea en busca de propiedad intelectual y encuentra el archivo. La actividad sobre el archivo podría requerir autenticación o autorización, por lo que escanear y acceder al archivo generaría un tráfico inusual en comparación con el de un único usuario que se autentica en la red y abre el archivo. El atacante se llevaría una copia, un comportamiento inusual comparado con intentos de acceso anteriores de usuarios legítimos. Un UEBA toma una instantánea de referencia de los patrones normales de tráfico en este archivo y luego la compara con la actividad actual. Como el atacante no conoce el comportamiento normal de acceso al archivo, es probable que cualquier comportamiento sea diferente de la actividad normal de la red. El UEBA identificaría entonces la actividad inusual y alertaría a los administradores de una posible vulneración.
El UEBA también es beneficioso para las amenazas internas. Las amenazas internas son un problema que se suele pasar por alto. Las organizaciones dan por sentado que se puede confiar en los empleados, pero los empleados deshonestos que quieren hacer daño pueden realizar actividades malintencionadas con muchos menos obstáculos que un atacante externo. Los empleados deshonestos pueden formar parte del espionaje corporativo o simplemente dañar los datos de la empresa. En algunos casos, las amenazas internas no son malintencionadas, sino que se derivan de una cuenta de empleado pirateada o de una estafa de phishing exitosa. La actividad de las amenazas internas también sería inusual porque el usuario intentaría acceder a archivos a los que no suele tener acceso o hacer copias de archivos que no suelen tener mucha actividad.
¿Qué es una herramienta UEBA?
La mayoría de las organizaciones utilizan una herramienta de gestión de eventos e información de seguridad (SIEM) para detectar actividad inusual en la red, por lo que una herramienta UEBA parece redundante. Sin embargo, una herramienta UEBA funciona de forma diferente a un SIEM y puede trabajar conjuntamente con un SIEM. Un SIEM es un sistema basado en reglas que toma archivos de registro de varios sistemas diferentes, analiza los datos y luego proporciona información a los analistas. También proporcionará alertas y sugerencias que ayuden a los analistas a tomar decisiones.
Una herramienta UEBA funciona de forma algo diferente. Detectará comportamientos inusuales de los usuarios utilizando IA, algoritmos y calificaciones de riesgo para determinar si los patrones de tráfico son de usuarios legítimos o de atacantes. Estas herramientas trabajan con big data e incorporan el aprendizaje automático en sus sistemas de análisis, informes y alertas. En general, lo mejor es utilizar un SIEM con un UEBA para obtener la máxima seguridad tras un compromiso.