Las soluciones de análisis de comportamiento de usuarios y entidades (UEBA) están diseñadas para identificar amenazas de ciberseguridad basadas en un comportamiento anormal. Una vez que la solución tiene una comprensión clara de cómo funcionan normalmente los sistemas de una organización, puede identificar desviaciones que pueden indicar posibles amenazas. Por ejemplo, las descargas masivas y anormales de datos de una base de datos corporativa pueden indicar una violación de datos en curso.
Se implementa una solución UEBA en un dispositivo en toda la red de una organización. Durante un período posterior a su implementación, la solución UEBA monitorea un dispositivo y crea un perfil de uso normal. Esto incluye las actividades de los distintos usuarios de ese dispositivo. Después de un tiempo, la UEBA tiene un buen modelo de lo que se considera comportamiento normal y anormal. En este punto, puede pasar del modo de aprendizaje al modo activo.
Mientras está en modo activo, la solución UEBA monitorea varias acciones y las evalúa en función de su modelo de comportamiento normal. Si observa una actividad anómala, puede alertar a un administrador y potencialmente desencadenar una respuesta diseñada para bloquear la amenaza potencial.
Por ejemplo, un usuario de la organización suele pasar la mayor parte de su jornada laboral editando documentos y navegando por Internet. Si su cuenta de repente comienza a realizar solicitudes a otros sistemas y a explorar la red, la solución UEBA puede generar una alerta. Si bien este cambio en la actividad puede ser benigno, también podría indicar que las credenciales del usuario están comprometidas por un atacante. Si esta es la persecución, la advertencia proporcionada por la solución UEBA le da a la organización la oportunidad de abordar el problema.
Si un atacante tiene acceso a la cuenta de un usuario, es posible que no necesite utilizar malware y técnicas similares para lograr sus objetivos. Esto puede presentar desafíos para algunas soluciones de seguridad diseñadas para detectar este tipo de contenido malicioso.
Sin embargo, es probable que un atacante tome acciones que se desvíen de la norma en el curso del logro de sus objetivos. Por ejemplo, no se puede realizar una filtración de datos sin acceder a los datos, y el ransomware implica una gran cantidad de operaciones con archivos. Una solución UEBA puede identificar e informar sobre estas actividades desviadas, lo que permite a las organizaciones detectar ataques en ausencia de malware o contenido malicioso.
UEBA proporciona numerosos beneficios al centro de operaciones de seguridad (SOC) de una organización, incluyendo los siguientes:
UEBA y el análisis de tráfico de red (NTA), también conocido como detección y respuesta de red (NDR), pueden identificar algunas de las mismas amenazas y ambos utilizan técnicas similares, como el aprendizaje automático y el análisis de datos. Sin embargo, no son la misma solución. Por ejemplo, NTA puede proporcionar una visibilidad más amplia de los eventos en la red de una organización, no solo de aquellos etiquetados como anómalos. Por otro lado, las soluciones UEBA brindan visibilidad de eventos locales en el dispositivo monitoreado, mientras que NTA solo tiene visibilidad de eventos a nivel de red.
UEBA y las soluciones de gestión de eventos e información de seguridad (SIEM) utilizan el aprendizaje automático y el análisis de datos para identificar amenazas. Sin embargo, son diferentes soluciones diseñadas para identificar diferentes tipos de amenazas.
En general, las soluciones SIEM son más capaces de identificar amenazas únicas y menos sofisticadas y se centran en la gestión de la seguridad. Sin embargo, pueden carecer de visibilidad de campañas de ataque más sofisticadas y sutiles.
Las soluciones UEBA, por otro lado, se centran más en crear perfiles de usuarios y dispositivos y en buscar desviaciones de estos perfiles. Esto les permite identificar ataques más sutiles y detectar amenazas internas que un SIEM podría pasar por alto.
Una solución UEBA proporciona capacidades valiosas que complementan otras soluciones en la pila de seguridad de una organización. Al detectar e informar sobre comportamientos anómalos que podrían estar vinculados a un ataque potencial, UEBA permite que el equipo de seguridad de una organización detecte amenazas internas y otros ataques que otras soluciones enfocadas en identificar y bloquear contenido malicioso podrían pasar por alto.
Las capacidades de UEBA deben formar parte de una plataforma de seguridad integrada empresarial. Check Point Infinity XDR(detección y respuesta ampliadas) ofrece UEBA junto con una serie de otras funciones de seguridad. Descubre la gama completa de funciones de Infinity XDR en este resumen de la solución. Entonces, para saber más sobre cómo Infinity XDR puede ayudar a proteger su organización contra las amenazas de seguridad avanzadas, inscríbase en una demostración gratuita hoy mismo.