El análisis del comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés) es un tipo de software de seguridad que utiliza análisis de comportamiento, algoritmos de machine learning y automatización para identificar comportamientos anómalos y potencialmente peligrosos de usuarios y dispositivos. El UEBA es especialmente eficaz para identificar amenazas internas (es decir, usuarios internos malintencionados o piratas informáticos que utilizan credenciales comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado.
El término UEBA, acuñado por primera vez por Gartner en 2015, es una evolución de UBA, el análisis del comportamiento del usuario. Si bien el UBA solo rastreaba los patrones de comportamiento del usuario final, el UEBA también supervisa entidades que no son usuarios, como servidores, enrutadores y dispositivos del Internet de las cosas (IoT), para detectar comportamientos anómalos o actividades sospechosas que podrían indicar amenazas a la seguridad o ataques.
El análisis del comportamiento de usuarios y entidades se utiliza en los centros de operaciones de seguridad (SOC) junto con otras herramientas de seguridad empresarial. Además, la funcionalidad UEBA a menudo se incluye en soluciones de seguridad empresarial de gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta extendidas (XDR) y gestión de identidades y accesos (IAM).
Las soluciones UEBA brindan información sobre seguridad por medio de análisis de datos y machine learning. Las herramientas de análisis del comportamiento del sistema UEBA consumen y analizan grandes volúmenes de datos de múltiples fuentes para crear una imagen de referencia de la actividad normal de los usuarios y las entidades con privilegios. Luego utiliza el machine learning para refinar ese punto de referencia. A medida que el machine learning aprende, la solución UEBA necesita recopilar y analizar menos muestras de comportamiento normal para crear un punto de referencia preciso.
Después de modelar los comportamientos de referencia, el UEBA aplica las mismas capacidades de análisis avanzado y machine learning a los datos actuales de actividad de los usuarios y las entidades para identificar desviaciones del punto de referencia sospechosas en tiempo real. El UEBA evalúa el comportamiento de los usuarios y las entidades analizando datos del mayor número posible de fuentes empresariales; cuantas más, mejor. Estas fuentes suelen incluir:
Equipos de red y soluciones de acceso a redes, como firewalls, enrutadores, VPN y soluciones IAM.
Herramientas y soluciones de seguridad, como software antivirus y antimalware, soluciones de EDR, sistemas de detección y prevención de intrusiones (IDPS) y soluciones SIEM.
Bases de datos de autenticación, como Active Directory, que contienen información crucial sobre un entorno de red, las cuentas de usuario y los ordenadores activos en el sistema, y las actividades permitidas de los usuarios.
Fuentes y marcos de inteligencia de amenazas, como MITRE ATT&CK, que brindan información sobre ciberamenazas comunes y vulnerabilidades, incluidos ataques de día cero, malware, botnets y otros riesgos de seguridad.
Sistemas de planificación de recursos empresariales (ERP) o de Recursos Humanos (RR. HH.) que contienen información pertinente sobre los usuarios que podrían representar una amenaza, como empleados que han presentado su renuncia o que podrían estar descontentos.
Las soluciones UEBA utilizan lo que aprenden para identificar comportamientos anómalos y clasificarlos en función del riesgo que representan. Por ejemplo, varios intentos fallidos de autenticación en un breve período de tiempo o patrones anormales de acceso al sistema podrían indicar una amenaza interna y crearían una alerta con una puntuación de riesgo baja. De manera similar, un usuario que conecta varias unidades USB y realiza patrones de descarga anormales podría indicar una filtración de datos y se le asignaría una puntuación de riesgo más alta.
El uso de estas métricas de puntuación ayuda a los equipos de seguridad a evitar falsos positivos y priorizar las amenazas más importantes, así como a documentar y monitorizar a lo largo del tiempo las alertas de bajo nivel que, en combinación, podrían suponer una amenaza lenta pero grave.
El análisis del comportamiento de usuarios y entidades (UEBA) ayuda a las empresas a identificar actividades sospechosas y refuerza las iniciativas de prevención de pérdida de datos (DLP). Aparte de estos usos tácticos, el UEBA también puede servir para propósitos más estratégicos, como demostrar el cumplimiento de las regulaciones relativas a los datos de los usuarios y la protección de la privacidad.
Casos prácticos tácticos
Usuarios internos negligentes: se trata de personas con acceso autorizado, e incluso privilegiado, a la red corporativa que intentan realizar un ciberataque. Los datos por sí solos (como archivos de registro o registros de eventos) no siempre permiten detectar a estas personas, mientras que los análisis avanzados sí. Dado que el UEBA brinda información sobre usuarios específicos, en lugar de solo direcciones IP, puede identificar a usuarios individuales que infringen las políticas de seguridad.
Usuario interno comprometido: estos atacantes obtienen acceso a las credenciales de usuarios o dispositivos autorizados a través de ataques de phishing, ataques de fuerza bruta u otros medios. Es posible que las herramientas de seguridad habituales no los detecten, ya que el uso de credenciales legítimas, a pesar de ser robadas, hace que el atacante parezca tener acceso autorizado. Una vez dentro, estos atacantes realizan movimientos laterales, es decir, se desplazan por la red y obtienen nuevas credenciales para escalar sus privilegios y llegar a activos más valiosos. Si bien estos atacantes usan credenciales legítimas, el UEBA puede detectar su comportamiento anómalo y ayudar a frustrar su ataque.
Entidades comprometidas: muchas organizaciones, en particular empresas de fabricación y hospitales, utilizan una cantidad significativa de dispositivos conectados, como dispositivos IoT, a menudo con poca o ninguna configuración de seguridad. La falta de protección convierte a estas entidades en un objetivo prioritario para los piratas informáticos, quienes pueden secuestrar estos dispositivos para acceder a fuentes de datos confidenciales, interrumpir las operaciones o realizar ataques de denegación de servicio distribuido (DDoS). El uso de UEBA permite identificar comportamientos que indican que estas entidades se han visto comprometidas para abordar las amenazas antes de que se intensifiquen.
Exfiltración de datos: las amenazas internas y los actores malintencionados a menudo buscan robar datos personales, propiedad intelectual o documentos sobre la estrategia comercial de servidores, ordenadores u otros dispositivos comprometidos. El análisis del comportamiento de usuarios y entidades ayuda a los equipos de seguridad a detectar vulneraciones de datos en tiempo real alertando a los equipos sobre patrones inusuales de descarga y acceso a datos.
Casos prácticos estratégicos
Implementación de seguridad zero trust: un enfoque de seguridad zero trust implica no confiar nunca y comprobar constantemente a todos los usuarios o entidades, ya estén fuera o dentro de la red. En particular, el enfoque zero trust requiere la autenticación, autorización y validación de todos los usuarios y entidades antes de concederles acceso a las aplicaciones y los datos. Además, se deben volver a autenticar, autorizar y validar los usuarios y entidades de forma continua para mantener o ampliar su acceso a lo largo de una sesión.
Una arquitectura zero trust eficaz requiere la máxima visibilidad posible de todos los usuarios, dispositivos, activos y entidades de la red. El UEBA brinda a los analistas de seguridad visibilidad completa y en tiempo real de toda la actividad de los usuarios finales y de las entidades, incluidos qué dispositivos intentan conectarse a la red y qué usuarios intentan exceder sus privilegios, entre otros.
Cumplimiento del RGPD: el Reglamento general de protección de datos (RGPD) de la Unión Europea impone requisitos estrictos a las organizaciones para proteger los datos confidenciales. Según el RGPD, las empresas deben realizar un seguimiento de los datos personales a los que se accede, quién accede a ellos, cómo se utilizan y cuándo se eliminan. Las herramientas de análisis del comportamiento de usuarios y entidades (UEBA) ayudan a las empresas a cumplir con el RGPD al monitorizar el comportamiento de los usuarios y los datos confidenciales a los que acceden.
El análisis del comportamiento de usuarios y entidades, u otras capacidades similares al UEBA, se incluyen en muchas herramientas de seguridad disponibles actualmente. Aunque puede usarse como un producto independiente, debe considerarse una herramienta más del conjunto completo de herramientas de ciberseguridad. En particular, el UEBA se utiliza a menudo junto con las siguientes herramientas o está integrado en ellas:
Gestión de eventos e información de seguridad (SIEM): los sistemas SIEM agregan datos de eventos de seguridad de diferentes herramientas de seguridad internas en un único registro y analizan esos datos para detectar comportamientos inusuales y posibles amenazas. El UEBA puede ampliar la visibilidad de SIEM en la red gracias a sus capacidades de detección de amenazas internas y de análisis del comportamiento del usuario. Hoy en día, muchas soluciones SIEM incluyen UEBA.
Detección y respuesta de endpoints (EDR): las herramientas EDR monitorizan los endpoints del sistema, como ordenadores portátiles, impresoras y dispositivos IoT, en busca de signos de comportamiento inusual que puedan indicar una amenaza. Cuando se detecta una amenaza, la solución EDR la contiene automáticamente. El análisis del comportamiento de usuarios y entidades complementa las soluciones de detección y respuesta de endpoints (y a menudo forma parte de ellas) al supervisar el comportamiento de los usuarios en estos endpoints. Por ejemplo, un inicio de sesión sospechoso podría desencadenar una alerta de bajo nivel en la solución EDR, pero si las capacidades de UEBA descubren que el endpoint se está utilizando para acceder a información confidencial, la alerta puede elevarse según corresponda para abordarla más rápidamente.
Gestión de identidades y accesos (IAM): las herramientas de gestión de identidades y accesos garantizan que las personas y los dispositivos adecuados puedan utilizar las aplicaciones y los datos correctos cuando lo necesiten. Las herramientas IAM son proactivas y su objetivo es evitar el acceso no autorizado a la vez que facilitan el acceso autorizado. El análisis del comportamiento de usuarios y entidades (UEBA) agrega una capa de protección adicional al buscar e identificar los signos de credenciales comprometidas o de abuso de privilegios por parte de usuarios autorizados.
Detecte, investigue y responda a amenazas críticas de ciberseguridad en toda su empresa.
Mejore QRadar SIEM con capacidades de UEBA, inteligencia artificial, análisis forense de incidentes y mucho más.
Protéjase de las amenazas malintencionadas o involuntarias de personas con acceso a su red.
Las soluciones SIEM ayudan a las organizaciones a identificar posibles amenazas y vulnerabilidades de seguridad antes de que perturben las operaciones empresariales.
El software EDR protege a los usuarios finales, los endpoints y los activos de TI de una organización frente a las amenazas que eluden los antivirus y otras herramientas tradicionales de seguridad de endpoints.
El machine learning permite que los ordenadores aprendan de la misma manera que los humanos, mejorando gradualmente su precisión.