Temas técnicos

¿Qué es el análisis del comportamiento de usuarios y entidades (UEBA)?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

El análisis del comportamiento de usuarios y entidades (UEBA) es un tipo de solución de ciberseguridad que utiliza el aprendizaje automático (ML), el aprendizaje profundo y el análisis estadístico para identificar los patrones de comportamiento normales de usuarios y entidades (por ejemplo, hosts, aplicaciones, tráfico de red y repositorios de datos) en redes corporativas o sistemas informáticos. Cuando se detectan anomalías o desviaciones de esos patrones de comportamiento y una puntuación de riesgo supera un umbral designado, una solución UEBA alerta a los equipos del centro de operaciones de seguridad (SOC ) sobre si se está produciendo una amenaza potencial o un ciberataque.

UEBA es una herramienta esencial en la pila de ciberseguridad de una organización moderna, especialmente porque muchas herramientas heredadas se están quedando rápidamente obsoletas. A medida que los ciberdelincuentes y los hackers se vuelven más sofisticados, pueden eludir más fácilmente los sistemas tradicionales de defensa del perímetro, como las pasarelas web seguras (SWG), los cortafuegos y otras herramientas de prevención de intrusiones.

Si no está familiarizado con UEBA, esta guía le ayudará a entenderlo. A continuación, explicaremos qué es la seguridad UEBA, cómo funciona, la diferencia entre Análisis del Comportamiento del Usuario (UBA) y UEBA, y las mejores prácticas UEBA.

Análisis del comportamiento de usuarios y entidades (UEBA)

¿Qué es la seguridad UEBA?

Muchas herramientas de ciberseguridad heredadas identificaban anomalías o desviaciones en los patrones de comportamiento utilizando únicamente análisis estadísticos y reglas de correlación definidas por el usuario. Aunque estas herramientas son eficaces para frustrar amenazas conocidas, quedan obsoletas cuando se trata de ataques desconocidos o de día cero y de amenazas internas. Con la seguridad UEBA, sin embargo, los equipos SOC pueden detectar automáticamente comportamientos no ordinarios en redes corporativas o sistemas informáticos completos sin depender de reglas o patrones definidos por el usuario.

UEBA combina la potencia del ML, el aprendizaje profundo y el análisis estadístico para proporcionar a los equipos SOC un software de detección de amenazasmás completo , que permitea las organizaciones detectar automáticamente ataques complejos a través de múltiples usuarios y entidades. Además, una solución UEBA puede agrupar datos en registros e informes, así como analizar información en archivos y paquetes.


¿Cómo funciona la seguridad de UEBA?

UEBA trabaja recopilando información sobre patrones normales de comportamiento de usuarios y entidades a partir de los registros del sistema. A continuación, aplica métodos inteligentes de análisis estadístico para interpretar cada conjunto de datos y establecer líneas de base de estos patrones de comportamiento. El establecimiento de líneas de base de patrones de comportamiento es clave para UEBA, ya que permite al sistema detectar posibles ciberataques o amenazas.

Con una solución UEBA, los comportamientos actuales de usuarios y entidades se comparan continuamente con sus líneas de base individuales. A continuación, el software de inteligencia sobre ciberamenazas UEBA calcula las puntuaciones de riesgo e identifica si hay anomalías o desviaciones en los patrones de comportamiento que supongan un riesgo. Si una puntuación de riesgo supera un determinado límite, el sistema UEBA alertará a los miembros del equipo SOC.

Por ejemplo, si un usuario descarga regularmente 5 MB de archivos al día y de repente empieza a descargar archivos por valor de gigabytes, una solución UEBA identificaría esta desviación del patrón de comportamiento del usuario y alertaría a TI de una posible amenaza para la seguridad.

Según Gartner, una solución UEBA se define por tres atributos fundamentales:

  1. Casos de uso: Una solución UEBA debe ser capaz de analizar, detectar, informar y supervisar patrones de comportamiento tanto de usuarios como de entidades. Y, a diferencia de las soluciones puntuales del pasado, UEBA debe centrarse en múltiples casos de uso en lugar de centrarse únicamente en análisis especializados, como la supervisión de hosts de confianza o la detección de fraudes.
  2. Análisis: Una solución UEBA debe ofrecer capacidades analíticas avanzadas que puedan detectar anomalías en los patrones de comportamiento utilizando varios enfoques analíticos en un solo paquete. Estos incluyen modelos estadísticos y aprendizaje automático (ML), así como reglas y firmas.
  3. Fuentes de datos: Una solución UEBA debe ser capaz de ingerir datos de actividades de usuarios y entidades tanto de forma nativa desde las fuentes de datos como a través de un repositorio de datos existente (por ejemplo, Security Information and Event Management (SIEM), almacén de datos o un lago de datos).

Diferencias entre las herramientas UBA y UEBA

Definido por Gartner, User Behavior Analytics (UBA) fue el precursor de UEBA, ya que era una herramienta de ciberseguridad que analizaba estrictamente los patrones de comportamiento de los usuarios en redes o sistemas informáticos. Aunque las soluciones UBA seguían aplicando análisis avanzados para identificar anomalías en los patrones de comportamiento, no eran capaces de analizar otras entidades, como enrutadores, servidores y puntos finales.

Más tarde, Gartner actualizó la definición de UBA y creó UEBA, que incluía el análisis del comportamiento tanto de usuarios como de entidades (individualmente o en grupos de pares). Las soluciones UEBA son más potentes que las UBA, ya que utilizan ML y aprendizaje profundo para reconocer ataques complejos -como amenazas internas (por ejemplo, exfiltración de datos), amenazas persistentes avanzadas o ataques de día cero- a través de individuos, dispositivos y redes (incluidas las redes basadas en la nube) en lugar de depender de reglas de correlación definidas por el usuario.


Buenas prácticas de la UEBA

Como regla general, las herramientas UEBA no deben sustituir a las herramientas de ciberseguridad o sistemas de supervisión preexistentes, como los CASB o los sistemas de detección de intrusiones (IDS). Por el contrario, UEBA debe incorporarse a la pila de seguridad general para mejorar la postura de seguridad global de su organización. Otras buenas prácticas de UEBA son

  • Asegurarse de que sólo los miembros de TI designados reciben alertas del sistema UEBA.
  • Considere que tanto las cuentas de usuario privilegiadas como las no privilegiadas son potencialmente arriesgadas.
  • Cree nuevas políticas y normas teniendo en cuenta las amenazas internas y externas.
  • Combine UEBA con análisis de seguridad de big data como los SIEM para hacerlos más eficaces a la hora de detectar y analizar amenazas complejas o desconocidas.

Implantar UEBA con CyberRes Arcsight Intelligence

Cuando se trata de análisis avanzados del comportamiento de usuarios y entidades, CyberRes (una línea de negocio de Micro Focus) Arcsight Intelligence puede ayudar a su organización a mantenerse protegida frente a ciberamenazas complejas. Al proporcionar una visión contextualizada de los patrones de comportamiento tanto de usuarios como de entidades dentro de su empresa, nuestra herramienta UEBA sobrealimentada proporciona a su equipo SOC herramientas completas para visualizar e investigar las amenazas -comolas amenazas internas y las APT- antes de quesea demasiado tarde.


Detener las amenazas internas con ArcSight behavioral analytics

Además, nuestros modelos de detección de anomalías no esperan los mismos patrones de comportamiento de cada usuario o entidad, lo que significa que no tendrá que lidiar con una avalancha de falsas alertas positivas. Mediante ArcSight Intelligence , nuestro software establece una clara delimitación entre el comportamiento inusual y las amenazas reales utilizando la probabilidad matemática y el ML no supervisado para identificar las ciberamenazas con mayor precisión.

Si está listo para ver cómo ArcSight Intelligence utiliza una solución UEBA para ayudar a su equipo SOC a descubrir rápidamente amenazas ocultas en la red de su empresa, no dude en solicitar una demostración hoy mismo.

Notas a pie de página