La ciberseguridad se está volviendo cada vez más importante para las empresas de todos los tamaños. Ahora es común que incluso las pequeñas empresas utilicen una gran cantidad de herramientas como SIEM, firewalls y VPN para protegerse contra la intrusión.
Los hackers, sin embargo, se están volviendo cada vez más sofisticados. Su éxito depende de su capacidad para realizar ataques sin ser detectados por dichas herramientas. Y a menudo lo consiguen. Una posible solución a esto se conoce como análisis de comportamiento de usuarios y entidades.
Entonces, ¿qué es UEBA y su empresa debería usarlo? Averigüémoslo a continuación.
¿Qué es el análisis de comportamiento de usuarios y entidades?
UEBA es una solución de ciberseguridad que utiliza grandes conjuntos de datos para modelar la actividad de la red. Analiza tanto a los usuarios de una red como a la propia red, como enrutadores y dispositivos IoT. Luego busca actividad sospechosa y alerta a una empresa cada vez que detecta dicha actividad.
Lo logra creando una línea de base de cómo se ve la actividad normal en una red. Luego utiliza el aprendizaje automático para detectar comportamientos anormales automáticamente.
Es popular porque muchos productos de ciberseguridad están capacitados para buscar principalmente malware. Los piratas informáticos pueden derrotar dicho software ingresando a una red y simplemente no instalando ningún archivo malicioso.
En contraste con esto, UEBA puede buscar cualquier cosa anormal. Esto le permite detectar ataques más sofisticados que no coinciden con las amenazas conocidas.
¿Cómo funciona UEBA?
Las soluciones UEBA suelen tener tres componentes principales: análisis, integración y presentación. Veámoslos brevemente:
Analítica
UEBA analiza el comportamiento de todos los usuarios y dispositivos de la red. Al hacerlo, se crea una línea de base que ilustra cómo se ve una red cuando no se está produciendo un ataque. Luego se utilizan modelos estadísticos para determinar cuándo un usuario o dispositivo se comporta de una manera que no debería.
Integración
Las soluciones UEBA suelen estar diseñadas para integrarse con otro software de seguridad. Es probable que su empresa ya esté rastreando el comportamiento de la red, y su producto UEBA debería poder recopilar datos de dichos productos automáticamente.
Presentación
UEBA no suele tomar medidas contra las amenazas. En su lugar, está diseñado para presentar sus datos al personal de TI para una mayor investigación. Esto puede ser tan simple como enviar una alerta. Pero muchos productos de UEBA también producen gráficos y otros datos estadísticos que el personal puede usar para realizar análisis adicionales.
¿Contra qué protege UEBA?
UEBA puede proteger contra varias amenazas que otros productos de seguridad no pueden. Veamos cuáles son, ¿de acuerdo?
Amenazas internas
El software de seguridad a menudo encuentra difícil detectar amenazas internas. Si bien un SIEM puede detectar fácilmente una intrusión en la red, es posible que no detecte que alguien que ya está dentro de una red está haciendo algo que se supone que no debe hacer. Un UEBA correctamente configurado comprenderá cómo se comportan normalmente los usuarios y debería generar una alerta si un usuario comienza a hacer otra cosa.
Cuentas de usuario comprometidas
Si un usuario se comporta de manera anormal, no siempre se debe a una amenaza interna. También puede significar que un atacante ha robado la cuenta del usuario. Los empleados de negocios son blanco regular de phishing, y cuentas de usuario comprometidas son por lo tanto una ocurrencia común. Un UEBA puede detectar cuentas comprometidas tan pronto como el atacante comienza a hacer algo fuera de lo común.
Escalada de privilegios
La escalada de privilegios ocurre cuando a un usuario se le otorgan privilegios adicionales para acceder a otras partes de una red. Esto es algo de lo que se beneficiaría un hacker. Se puede configurar un UEBA para que detecte cada vez que aumentan los privilegios de un usuario y envíe una alerta para su investigación.
Ataques de fuerza bruta
Ataques de fuerza bruta implican repetidos intentos de acceder a las cuentas y redes de los usuarios. Debido a que esto obviamente no está dentro del comportamiento normal, un UEBA puede detectarlo fácilmente. En este escenario, un UEBA puede generar una alerta o puede configurarse para expulsar al atacante automáticamente.
Acceso a información restringida
Una UEBA puede monitorear quién accede a información confidencial. Por lo tanto, puede evitar violaciones de datos al generar una alerta cada vez que un usuario accede a algo que no necesita para su trabajo.
UEBA vs. SIEM
Las herramientas de gestión de eventos e información de seguridad son similares a UEBA pero no exactamente iguales. Las herramientas SIEM también analizan una red y generan alertas cada vez que se detecta actividad sospechosa.
La diferencia es que SIEM solo genera una alerta cuando un atacante hace algo que se sabe que es malicioso. Entonces, si un atacante tiene cuidado, aún puede ingresar a una red y evitar la detección.
UEBA está diseñado para detectar ataques, no debido a un comportamiento malicioso sino a un comportamiento fuera de lo normal. Esto le permite detectar ataques que no coinciden con ninguna amenaza conocida.
Muchas herramientas SIEM ahora incorporan UEBA por este motivo, pero la mayoría no lo hace.
¿Deberían todas las empresas usar UEBA?
Todas las empresas deberían considerar el uso de una solución UEBA, pero al igual que muchas soluciones nuevas de ciberseguridad, es esencial sopesar los pros y los contras antes de implementarla.
UEBA es capaz de detectar amenazas que SIEM no detectaría. También es capaz de detectar amenazas que el personal de seguridad puede pasar por alto. A menudo vale la pena invertir en esta protección adicional, considerando las pérdidas sufridas después de un ciberataque exitoso.
Las soluciones UEBA también brindan protección automatizada. Esto puede permitir que una empresa tenga un departamento de ciberseguridad más pequeño y, en consecuencia, proporcione ahorros salariales significativos.
La desventaja de UEBA es que es costosa de implementar. Puede estar fuera del presupuesto de muchas pequeñas empresas sin ser estrictamente necesario. La implementación de una solución UEBA también requerirá que el personal esté capacitado para usarla, lo que agregará costos adicionales.
UEBA tampoco es un reemplazo adecuado para otros productos de ciberseguridad. Si bien un producto SIEM puede incluir UEBA, UEBA no reemplaza a SIEM ni a ningún otro producto de seguridad que ya tenga una empresa.
UEBA ofrece una protección superior
Los productos UEBA ofrecen una mejora significativa con respecto a los productos SIEM estándar y son capaces de identificar amenazas que de otro modo pasarían desapercibidas. Si bien SIEM a menudo se enfrenta a amenazas internas, UEBA puede detectar automáticamente actividad inusual en la red por parte de usuarios autorizados.
Si UEBA es o no adecuado para su negocio depende de su presupuesto de seguridad cibernética. Si bien UEBA es superior, el alto costo de instalación y el hecho de que no reemplaza a otros productos es una desventaja obvia.
