¿Cómo funciona el análisis del comportamiento de usuarios y entidades (UEBA)?
Se implementa una solución UEBA en un dispositivo en toda la red de una organización. Durante un período posterior a su implementación, la solución UEBA monitorea un dispositivo y crea un perfil de uso normal. Esto incluye las actividades de los distintos usuarios de ese dispositivo. Después de un tiempo, la UEBA tiene un buen modelo de lo que se considera comportamiento normal y anormal. En este punto, puede pasar del modo de aprendizaje al modo activo.
Mientras está en modo activo, la solución UEBA monitorea varias acciones y las evalúa en función de su modelo de comportamiento normal. Si observa una actividad anómala, puede alertar a un administrador y potencialmente desencadenar una respuesta diseñada para bloquear la amenaza potencial.
Por ejemplo, un usuario de la organización suele pasar la mayor parte de su jornada laboral editando documentos y navegando por Internet. Si su cuenta de repente comienza a realizar solicitudes a otros sistemas y a explorar la red, la solución UEBA puede generar una alerta. Si bien este cambio en la actividad puede ser benigno, también podría indicar que las credenciales del usuario están comprometidas por un atacante. Si esta es la persecución, la advertencia proporcionada por la solución UEBA le da a la organización la oportunidad de abordar el problema.
La necesidad de análisis de comportamiento de usuarios y entidades (UEBA)
Si un atacante tiene acceso a la cuenta de un usuario, es posible que no necesite utilizar malware y técnicas similares para lograr sus objetivos. Esto puede presentar desafíos para algunas soluciones de seguridad diseñadas para detectar este tipo de contenido malicioso.
Sin embargo, es probable que un atacante tome acciones que se desvíen de la norma en el curso del logro de sus objetivos. Por ejemplo, no se puede realizar una filtración de datos sin acceder a los datos, y el ransomware implica una gran cantidad de operaciones con archivos. Una solución UEBA puede identificar e informar sobre estas actividades desviadas, lo que permite a las organizaciones detectar ataques en ausencia de malware o contenido malicioso.
Beneficios de UEBA
UEBA proporciona numerosos beneficios al centro de operaciones de seguridad (SOC) de una organización, incluyendo los siguientes:
- Detección amplia de amenazas: UEBA identifica amenazas buscando desviaciones del comportamiento normal. Esto le permite identificar una amplia gama de amenazas, incluidas aquellas que no utilizan malware ni contenido malicioso.
- Análisis automatizado: UEBA recopila y analiza automáticamente grandes volúmenes de datos para construir su modelo y detectar eventos anómalos. Esto proporciona un contexto valioso sin la necesidad de que analistas de seguridad realicen este análisis.
- Seguridad mejorada: UEBA tiene la capacidad de identificar amenazas internas y otros riesgos que son más difíciles de detectar con otras soluciones de seguridad. Como resultado, reduce el riesgo de ataque cibernético de una organización.
UEBA frente a NTA
UEBA y el análisis de tráfico de red (NTA), también conocido como detección y respuesta de red (NDR), pueden identificar algunas de las mismas amenazas y ambos utilizan técnicas similares, como el aprendizaje automático y el análisis de datos. Sin embargo, no son la misma solución. Por ejemplo, NTA puede proporcionar una visibilidad más amplia de los eventos en la red de una organización, no solo de aquellos etiquetados como anómalos. Por otro lado, las soluciones UEBA brindan visibilidad de eventos locales en el dispositivo monitoreado, mientras que NTA solo tiene visibilidad de eventos a nivel de red.
UEBA contra SIEM
UEBA y las soluciones de gestión de eventos e información de seguridad (SIEM) utilizan el aprendizaje automático y el análisis de datos para identificar amenazas. Sin embargo, son diferentes soluciones diseñadas para identificar diferentes tipos de amenazas.
En general, las soluciones SIEM son más capaces de identificar amenazas únicas y menos sofisticadas y se centran en la gestión de la seguridad. Sin embargo, pueden carecer de visibilidad de campañas de ataque más sofisticadas y sutiles.
Las soluciones UEBA, por otro lado, se centran más en crear perfiles de usuarios y dispositivos y en buscar desviaciones de estos perfiles. Esto les permite identificar ataques más sutiles y detectar amenazas internas que un SIEM podría pasar por alto.
UEBA con Infinity XDR
Una solución UEBA proporciona capacidades valiosas que complementan otras soluciones en la pila de seguridad de una organización. Al detectar e informar sobre comportamientos anómalos que podrían estar vinculados a un ataque potencial, UEBA permite que el equipo de seguridad de una organización detecte amenazas internas y otros ataques que otras soluciones enfocadas en identificar y bloquear contenido malicioso podrían pasar por alto.
Las capacidades de UEBA deben formar parte de una plataforma de seguridad integrada empresarial. Check Point Infinity XDR(detección y respuesta ampliadas) ofrece UEBA junto con una serie de otras funciones de seguridad. Descubre la gama completa de funciones de Infinity XDR en este resumen de la solución. Entonces, para saber más sobre cómo Infinity XDR puede ayudar a proteger su organización contra las amenazas de seguridad avanzadas, inscríbase en una demostración gratuita hoy mismo.
Comentarios