¿Qué es el análisis del comportamiento de usuarios y entidades (UEBA)?

El término UEBA, acuñado por primera vez por Gartner en 2015, es una evolución de UBA, el análisis del comportamiento del usuario. Mientras que UBA solo rastreaba los patrones de comportamiento de los usuarios finales, UEBA también monitoriza las entidades no usuarias, como servidores, enrutadores y dispositivos de Internet de las Cosas (IoT) en busca de comportamientos anómalos o actividades sospechosas que puedan indicar amenazas o ataques a la seguridad.

El UEBA es eficaz para identificar amenazas internas (es decir, usuarios internos negligentes o hackers que utilizan credenciales comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado.

El análisis del comportamiento de usuarios y entidades se utiliza en los centros de operaciones de seguridad (SOC) junto con otras herramientas de seguridad empresarial. Además, la funcionalidad UEBA a menudo se incluye en soluciones de seguridad empresarial de gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta extendidas (XDR) y gestión de identidades y accesos (IAM).

Las soluciones UEBA brindan información sobre seguridad por medio de análisis de datos y machine learning. Las herramientas de análisis del comportamiento del sistema UEBA consumen y analizan grandes volúmenes de datos de múltiples fuentes para crear una imagen de referencia de la actividad normal de los usuarios y las entidades con privilegios. Luego utiliza el machine learning (ML) para refinar ese punto de referencia. A medida que el machine learning aprende, la solución UEBA necesita recopilar y analizar menos muestras de comportamiento normal para crear un punto de referencia preciso.

Después de modelar los comportamientos de referencia, el UEBA aplica las mismas capacidades de análisis avanzado y machine learning a los datos actuales de actividad de los usuarios y las entidades para identificar desviaciones del punto de referencia en tiempo real. UEBA evalúa el comportamiento de usuarios y entidades analizando datos de tantas fuentes empresariales como sea posible: cuantas más, mejor. Estas fuentes suelen incluir:

• Equipos de red y soluciones de acceso a redes, como firewalls, enrutadores, VPN y soluciones IAM.
   

• Herramientas y soluciones de seguridad, como software antivirus y antimalware, soluciones de EDR, sistemas de detección y prevención de intrusiones (IDPS) y soluciones SIEM.
   

• Las bases de datos de autenticación, como Active Directory, contienen información crítica sobre un entorno de red, incluidas las cuentas de usuario, los ordenadores activos dentro del sistema y las actividades que los usuarios pueden realizar.

• Fuentes y marcos de inteligencia de amenazas, como MITRE ATT&CK, que brindan información sobre ciberamenazas frecuentes y vulnerabilidades, incluidos ataques de día cero, malware, botnets y otros riesgos de seguridad.
   

• Sistemas de planificación de recursos empresariales (ERP) o de Recursos Humanos (RR. HH.) que contienen información pertinente sobre los usuarios que podrían representar una amenaza, como empleados que han presentado su renuncia o que podrían estar descontentos.

Las soluciones UEBA utilizan lo que aprenden para identificar comportamientos anómalos y clasificarlos en función del riesgo que representan. Por ejemplo, varios intentos fallidos de autenticación en un breve espacio de tiempo o patrones anormales de acceso al sistema podrían indicar una amenaza interna y crearían una alerta de puntuación baja. De manera similar, un usuario que conecta varias unidades USB y realiza patrones de descarga anormales podría indicar una filtración de datos y se le asignaría una puntuación de riesgo más alta.

El uso de estas métricas de puntuación ayuda a los equipos de seguridad a evitar falsos positivos y priorizar las amenazas más importantes, así como a documentar y monitorizar a lo largo del tiempo las alertas de bajo nivel que, en combinación, podrían suponer una amenaza lenta pero grave.

El análisis del comportamiento de usuarios y entidades (UEBA) ayuda a las empresas a identificar actividades sospechosas y refuerza las iniciativas de prevención de pérdida de datos (DLP). Aparte de estos usos tácticos, el UEBA también puede servir para propósitos más estratégicos, como demostrar el cumplimiento de las regulaciones relativas a los datos de los usuarios y la protección de la privacidad.

Usuarios internos negligentes: estos atacantes son personas con acceso autorizado e incluso privilegiado a la red corporativa que intentan organizar un ciberataque. Los datos por sí solos (como archivos de registro o registros de eventos) no siempre permiten detectar a estas personas, mientras que los análisis avanzados sí. Dado que UEBA proporciona información sobre usuarios concretos, en lugar de direcciones IP, puede identificar a usuarios individuales que infringen las políticas de seguridad.

Usuario interno comprometido: estos atacantes obtienen acceso a las credenciales de usuarios o dispositivos autorizados a través de ataques de phishing, ataques de fuerza bruta u otros medios. Es posible que las herramientas de seguridad habituales no los detecten, ya que el uso de credenciales legítimas, a pesar de ser robadas, hace que el atacante parezca tener acceso autorizado. Una vez dentro, estos atacantes realizan movimientos laterales, es decir, se desplazan por la red y obtienen nuevas credenciales para escalar sus privilegios y llegar a activos más valiosos. Aunque estos atacantes usan credenciales legítimas, UEBA puede detectar su comportamiento anómalo y ayudar a frustrar su ataque.

Entidades comprometidas: muchas organizaciones, en particular empresas de fabricación y hospitales, utilizan una cantidad significativa de dispositivos conectados, como dispositivos IoT, a menudo con poca o ninguna configuración de seguridad. La falta de protección convierte a estas entidades en un objetivo prioritario para los piratas informáticos, que podrían secuestrar estos dispositivos para acceder a fuentes de datos confidenciales, interrumpir operaciones u organizar ataques de denegación de servicio distribuido (DDoS). El uso de UEBA permite identificar comportamientos que indican que estas entidades se han visto comprometidas para abordar las amenazas antes de que se intensifiquen.

Exfiltración de datos: las amenazas internas y los actores malintencionados a menudo buscan robar datos personales, propiedad intelectual o documentos sobre la estrategia comercial de servidores, ordenadores u otros dispositivos comprometidos. UEBA ayuda a los equipos de seguridad a detectar vulneraciones de datos en tiempo real alertando a los equipos de patrones inusuales de descarga y acceso a datos.

Implementación de seguridad zero trust: Un enfoque de seguridad zero trust es aquel que no confía y verifica continuamente a todos los usuarios o entidades, tanto si están fuera como si ya están dentro de la red. La zero trust requiere que todos los usuarios y entidades estén autenticados, autorizados y validados antes de que se les conceda acceso a aplicaciones y datos. Una vez concedido el acceso, deben volver a autenticarse, reautorizarse y revalidarse continuamente para mantener o ampliar ese acceso a lo largo de una sesión.

Una arquitectura zero trust eficaz requiere la máxima visibilidad posible de todos los usuarios, dispositivos, activos y entidades de la red. El UEBA brinda a los analistas de seguridad visibilidad completa y en tiempo real de toda la actividad de los usuarios finales y de las entidades, incluidos qué dispositivos intentan conectarse a la red y qué usuarios intentan exceder sus privilegios, entre otros.

Cumplimiento del RGPD: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea impone requisitos estrictos a las organizaciones para proteger los datos sensibles. Según el RGPD, las empresas deben realizar un seguimiento de los datos personales a los que se accede, quién accede a ellos, cómo se utilizan y cuándo se eliminan. Las herramientas UEBA pueden ayudar a las empresas a cumplir con el RGPD al monitorizar el comportamiento de los usuarios y los datos confidenciales a los que acceden.

El análisis del comportamiento de usuarios y entidades, u otras capacidades similares al UEBA, se incluyen en muchas herramientas de seguridad disponibles actualmente. Aunque puede usarse como un producto independiente, debe considerarse una herramienta más del conjunto completo de herramientas de ciberseguridad. En particular, el UEBA se utiliza a menudo con las siguientes herramientas o se integra en ellas:

Gestión de eventos e información de seguridad (SIEM): los sistemas SIEM agregan datos de eventos de seguridad de diferentes herramientas de seguridad internas en un único registro y analizan esos datos para detectar comportamientos inusuales y posibles amenazas. El UEBA puede ampliar la visibilidad de SIEM en la red gracias a sus capacidades de detección de amenazas internas y de análisis del comportamiento del usuario. Hoy en día, muchas soluciones SIEM incluyen UEBA.

Detección y respuesta de endpoints (EDR): las herramientas EDR monitorizan los endpoints del sistema, como ordenadores portátiles, impresoras y dispositivos IoT, en busca de signos de comportamiento inusual que puedan indicar una amenaza. Cuando se detecta una amenaza, la solución EDR la contiene automáticamente. UEBA complementa, y a menudo forma parte, de una solución EDR mediante la monitorización del comportamiento de los usuarios en estos terminales. Por ejemplo, un inicio de sesión sospechoso podría desencadenar una alerta de bajo nivel en la solución EDR, pero si las capacidades de UEBA descubren que el endpoint se está utilizando para acceder a información confidencial, la alerta puede elevarse según corresponda para abordarla más rápidamente.

Gestión de identidades y accesos (IAM): las herramientas de gestión de identidades y accesos garantizan que las personas y los dispositivos adecuados puedan utilizar las aplicaciones y los datos correctos cuando lo necesiten. Las herramientas IAM son proactivas y su objetivo es evitar el acceso no autorizado a la vez que facilitan el acceso autorizado. UEBA añade otro nivel de protección mediante la supervisión de signos de credenciales comprometidas o de abuso de privilegios por parte de usuarios autorizados.