UEBA: Una nueva forma de entender las amenazas internas.

Con el pasar del tiempo hemos ido aprendiendo que no solo debemos cuidarnos de las amenazas externas, ya que de nada sirve tener la tecnología de punta en seguridad informática si no somos capaces de mitigar los riesgos asociados con las amenazas internas, es por ello que surge la tecnología basada en el reconocimiento del comportamiento del usuario o UEBA(User Entity Behaviour Analysis).

Hemos escuchado por mucho tiempo que el eslabón más débil en seguridad informática es el usuario final, lo cual es cierto, pero qué hay de aquellos usuarios internos que se vuelven una amenaza para la compañía ?.

Anteriormente con el uso de soluciones SIEM estándar nos era suficiente para mantener cierto control sobre todos los eventos de seguridad que ocurrían dentro de nuestra red, el principal problema de los SIEM estándar es la generación masiva de alertas que requieren atención del personal y muchas veces son las alertas generadas son  falsos positivos.

Con la llegada del Machine Learning obtenemos nuevas posibilidades en el área de seguridad informática permitiéndonos entender el comportamiento de los usuarios y entidades y no solamente esperar y escarbar en las alertas generadas para detectar un amenaza real, esta la es principal bondad del UEBA(User Entity Behaviour Analysis) basarse en el comportamiento de los usuarios y entidades, aprender qué hace cada usuario para identificar de forma precisa cualquier comportamiento anómalo .  

Entendiendo el comportamiento de los usuarios y entidades tendremos una mejor visión de las amenazas internas que puedan ocurrir, y tomar las acciones antes que estas sucedan.

Ahora viene la pregunta, Qué actividades puede un UEBA ayudarnos a identificar en nuestras organizaciones ?

Dentro de este listado de actividades podemos enumerar algunas como las siguientes: 

  1. Monitoreo de comportamiento de inicio de sesión.
  2. Monitoreo de actividad de usuarios administradores.
  3. Integridad de archivos.
  4. Sentimientos de los usuarios respecto a la organización.
  5. Credenciales comprometidas.

Una vez entendido qué actividades se pueden realizar con UEBA, la siguiente pregunta que surge es : ¿Cómo funciona o cuales son los fundamentos del UEBA?

Como veremos en la siguiente imagen el ciclo del UEBA se entiende de la siguiente forma : 

  1. Entender los casos de uso: durante esta fase nuestro UEBA comienza la fase entrenamiento y exploración del entorno en cual fue instalado para conocer los comportamientos “normales” de los usuarios y entidades de la organización, se debe recalcar que este aprendizaje es continuo.
  2. Análisis de datos: En esta fase el UEBA comienza a realizar la creación de los modelos estadísticos contra los cuales validará los comportamientos aprendidos en la fase 1.
  3. Colección de data: En esta fase el ciclo vuelve a comenzar con la recolección de datos de los diferentes eventos y logs registrados, comportamiento de usuarios, actividades realizadas etc.

Ref: https://cdn.ttgtmedia.com/rms/onlineImages/3pillars_UEBA.png

Por lo cual deberíamos enfocarnos en que las nuevas soluciones de seguridad que adquiramos para nuestra organización cumplan con algunas de las funcionalidades del UEBA que hemos mencionado previamente, de esta forma estaremos sacando un mayor provecho a las nuevas tecnologías basadas en el Machine Learning, recordemos que siempre es mejor prevenir y estar preparados a reaccionar hasta que un evento ha ocurrido.

La mayoría de nuevas tecnologías está agregando este componente de UEBA en sus aplicativos a modo de ejemplo mencionaremos algunas con las cuales Agrega cuenta en su portafolio:

  1. One Login: para la gestión de identidad, incorpora el componente UEBA para entender el comportamiento de login de los usuarios para detectar el riesgo dependiendo dónde está iniciando sesion.
  1. ADAudit y Log360: Dentro de nuestro Active Directory es donde podemos encontrar la mayor cantidad de riesgos por lo cual dentro de ADAudit y Log 360 encontraremos el UEBA en diversas áreas como: 
  • Comportamiento de login.
  • Comportamiento usuarios administrativos.
  • Integridad de archivos.
  • Patrones de ataques conocidos.
  1. Veriato Investigator: Si bien los usuarios se pueden comportar dentro de los patrones normales de inicio de sesión y sus actividades diarias pueden estar normalmente desarrollándose, por lo que lo principal es entender qué actividades realizan dentro de sus actividades diarias siendo este escenario donde Veriato toma la iniciativa monitoreando comportamiento en internet, por ejemplo paginas de busqueda de empleo, páginas de ocio, redes sociales etc, con un análisis preciso del tiempo invertido en esas actividades, así como resúmenes de envíos por correo etc.

Para más información contáctanos 

info@agrega.com

+504 2269-0133 Opción 1

¿Qué tan útil ha sido este blog?

¡Haz clic en una estrella para calificarla!

Table of Contents

Facebook
Twitter
LinkedIn

Honduras

PBX +504 2269 0133

Nicaragua

+505 2277 4416

+505 5789 7150

Costa Rica

+506 41084014

El Salvador

+503 22304980

Estados Unidos

+1 786 304 2604

Nuestras Redes Sociales

Facebook Twitter Youtube Linkedin Instagram
info@agrega.com

AGREGA © 2022 | TODOS LOS DERECHOS RESERVADOS.