El análisis del comportamiento de usuarios y entidades (UEBA) es un tipo de solución de ciberseguridad que utiliza el aprendizaje automático (ML), el aprendizaje profundo y el análisis estadístico para identificar los patrones de comportamiento normales de usuarios y entidades (por ejemplo, hosts, aplicaciones, tráfico de red y repositorios de datos) en redes corporativas o sistemas informáticos. Cuando se detectan anomalías o desviaciones de esos patrones de comportamiento y una puntuación de riesgo supera un umbral designado, una solución UEBA alerta a los equipos del centro de operaciones de seguridad (SOC ) sobre si se está produciendo una amenaza potencial o un ciberataque.
UEBA es una herramienta esencial en la pila de ciberseguridad de una organización moderna, especialmente porque muchas herramientas heredadas se están quedando rápidamente obsoletas. A medida que los ciberdelincuentes y los hackers se vuelven más sofisticados, pueden eludir más fácilmente los sistemas tradicionales de defensa del perímetro, como las pasarelas web seguras (SWG), los cortafuegos y otras herramientas de prevención de intrusiones.
Si no está familiarizado con UEBA, esta guía le ayudará a entenderlo. A continuación, explicaremos qué es la seguridad UEBA, cómo funciona, la diferencia entre Análisis del Comportamiento del Usuario (UBA) y UEBA, y las mejores prácticas UEBA.
Muchas herramientas de ciberseguridad heredadas identificaban anomalías o desviaciones en los patrones de comportamiento utilizando únicamente análisis estadísticos y reglas de correlación definidas por el usuario. Aunque estas herramientas son eficaces para frustrar amenazas conocidas, quedan obsoletas cuando se trata de ataques desconocidos o de día cero y de amenazas internas. Con la seguridad UEBA, sin embargo, los equipos SOC pueden detectar automáticamente comportamientos no ordinarios en redes corporativas o sistemas informáticos completos sin depender de reglas o patrones definidos por el usuario.
UEBA combina la potencia del ML, el aprendizaje profundo y el análisis estadístico para proporcionar a los equipos SOC un software de detección de amenazasmás completo , que permitea las organizaciones detectar automáticamente ataques complejos a través de múltiples usuarios y entidades. Además, una solución UEBA puede agrupar datos en registros e informes, así como analizar información en archivos y paquetes.
UEBA trabaja recopilando información sobre patrones normales de comportamiento de usuarios y entidades a partir de los registros del sistema. A continuación, aplica métodos inteligentes de análisis estadístico para interpretar cada conjunto de datos y establecer líneas de base de estos patrones de comportamiento. El establecimiento de líneas de base de patrones de comportamiento es clave para UEBA, ya que permite al sistema detectar posibles ciberataques o amenazas.
Con una solución UEBA, los comportamientos actuales de usuarios y entidades se comparan continuamente con sus líneas de base individuales. A continuación, el software de inteligencia sobre ciberamenazas UEBA calcula las puntuaciones de riesgo e identifica si hay anomalías o desviaciones en los patrones de comportamiento que supongan un riesgo. Si una puntuación de riesgo supera un determinado límite, el sistema UEBA alertará a los miembros del equipo SOC.
Por ejemplo, si un usuario descarga regularmente 5 MB de archivos al día y de repente empieza a descargar archivos por valor de gigabytes, una solución UEBA identificaría esta desviación del patrón de comportamiento del usuario y alertaría a TI de una posible amenaza para la seguridad.
Según Gartner, una solución UEBA se define por tres atributos fundamentales:
Definido por Gartner, User Behavior Analytics (UBA) fue el precursor de UEBA, ya que era una herramienta de ciberseguridad que analizaba estrictamente los patrones de comportamiento de los usuarios en redes o sistemas informáticos. Aunque las soluciones UBA seguían aplicando análisis avanzados para identificar anomalías en los patrones de comportamiento, no eran capaces de analizar otras entidades, como enrutadores, servidores y puntos finales.
Más tarde, Gartner actualizó la definición de UBA y creó UEBA, que incluía el análisis del comportamiento tanto de usuarios como de entidades (individualmente o en grupos de pares). Las soluciones UEBA son más potentes que las UBA, ya que utilizan ML y aprendizaje profundo para reconocer ataques complejos -como amenazas internas (por ejemplo, exfiltración de datos), amenazas persistentes avanzadas o ataques de día cero- a través de individuos, dispositivos y redes (incluidas las redes basadas en la nube) en lugar de depender de reglas de correlación definidas por el usuario.
Como regla general, las herramientas UEBA no deben sustituir a las herramientas de ciberseguridad o sistemas de supervisión preexistentes, como los CASB o los sistemas de detección de intrusiones (IDS). Por el contrario, UEBA debe incorporarse a la pila de seguridad general para mejorar la postura de seguridad global de su organización. Otras buenas prácticas de UEBA son
Cuando se trata de análisis avanzados del comportamiento de usuarios y entidades, CyberRes (una línea de negocio de Micro Focus) Arcsight Intelligence puede ayudar a su organización a mantenerse protegida frente a ciberamenazas complejas. Al proporcionar una visión contextualizada de los patrones de comportamiento tanto de usuarios como de entidades dentro de su empresa, nuestra herramienta UEBA sobrealimentada proporciona a su equipo SOC herramientas completas para visualizar e investigar las amenazas -comolas amenazas internas y las APT- antes de quesea demasiado tarde.
Además, nuestros modelos de detección de anomalías no esperan los mismos patrones de comportamiento de cada usuario o entidad, lo que significa que no tendrá que lidiar con una avalancha de falsas alertas positivas. Mediante ArcSight Intelligence , nuestro software establece una clara delimitación entre el comportamiento inusual y las amenazas reales utilizando la probabilidad matemática y el ML no supervisado para identificar las ciberamenazas con mayor precisión.
Si está listo para ver cómo ArcSight Intelligence utiliza una solución UEBA para ayudar a su equipo SOC a descubrir rápidamente amenazas ocultas en la red de su empresa, no dude en solicitar una demostración hoy mismo.
Detección proactiva de riesgos internos, nuevos ataques y amenazas persistentes avanzadas.
Acelere la detección y respuesta a las amenazas con detección en tiempo real y SOAR nativo.
Protección más inteligente y sencilla
Potencie su equipo SOC con: detección de amenazas en tiempo real; mitigación de amenazas internas; gestión de registros, cumplimiento de normativas y funciones de caza de amenazas; orquestación, automatización y respuesta de seguridad.
Simplifique la gestión de registros y el cumplimiento de normativas al tiempo que acelera la investigación forense. Caza y derrota amenazas con búsqueda, visualización y generación de informes de big data.
OpenText ThreatHub Research le muestra qué amenaza a su organización y qué puede hacer al respecto. Hecho por CISO, pensado para CISO, OpenText ThreatHub Research le ayuda a reforzar su ciberresiliencia y a proteger estratégicamente su cadena de valor digital.