Los ciberataques no solo aumentan en número, también en complejidad y eso ha hecho que los sistemas tradicionales para luchar y prevenir este tipo de amenazas sean insuficientes y, en muchos casos, necesiten complementarse con otros sistemas que vayan más allá de firmas y reglas; entre ellos tenemos el sistema UEBA, que se basa en el análisis del comportamiento para mejorar la ciberseguridad de las organizaciones.
En este artículo analizaremos qué es UEBA y cómo funciona.
En este artículo hablamos de:
¿Qué es UEBA?
UEBA es una solución de seguridad que emplea el machine learning y el aprendizaje profundo para modelar el comportamiento de los usuarios y de los dispositivos conectados a las redes corporativas para, a través del establecimiento de patrones y el análisis del comportamiento, identificar comportamientos anormales y con ello posibles amenazas para la seguridad informática de la organización.
El significado de UEBA (User and Event Behavioral Analytics) es «análisis del comportamiento de usuarios y eventos», puesto que esta solución de seguridad, definida por Gartner en 2015, va más allá de los usuarios y extiende el análisis de comportamiento a los denominados «Eventos», es decir, servidores, enrutadores, equipos y dispositivos endpoint. Se trata de un sistema capaz de detectar patrones de comportamientos que se salen de lo normal, para detectar posibles amenazas.
¿Para qué sirve un sistema UEBA?
El sistema UEBA en ciberseguridad es especialmente útil para:
- Detectar amenazas internas, tanto si estas provienen de usuarios malintencionados como si lo hacen de usuarios negligentes, ya que puede ayudar a detectar vulneraciones de datos, manipulación de los datos, sabotajes, abuso de privilegios, accesos fuera de horarios habituales, violaciones de los protocolos o políticas de seguridad implantadas por la empresa, etc.
- Detección de ataques de fuerza bruta dirigidos contra nuestros servicios o entidades en la nube o sistemas de autenticación de terceros.
- Saber si se ha comprometido alguna cuenta de usuario, ya sea por la instalación involuntaria de malware, por robo de credenciales o por falsificación de una cuenta legítima.
- Detectar cambios de permisos en los accesos (por ejemplo, que a una cuenta de usuario se le otorguen más privilegios de acceso de los que son necesarios para que ese usuario pueda desempeñar su trabajo) y la creación de superusuarios.
- Detectar accesos a datos protegidos sin razones que lo justifiquen.
Así funciona el sistema UEBA
El sistema UEBA se basa en el aprendizaje automático para establecer los patrones de comportamiento base contra los que debe comparar sus análisis.
Así, un sistema UEBA primero recopilará información sobre el comportamiento normal de usuarios y eventos de los registros del sistema. Después se aplicarán métodos analíticos avanzados para analizar los datos recopilados y establecer una línea base de los patrones de comportamiento del usuario y del evento.
Una vez establecida esa línea base, UEBA monitorizará continuamente el comportamiento de cada usuario y evento, para compararlos con sus líneas base. Si se detectan comportamientos anómalos o desviaciones de los patrones normales, el sistema UEBA determinará si el comportamiento fuera de lo normal supone o una amenaza, dándole una puntuación de riesgo.
Es posible configurar el sistema UEBA para que emita una alerta para el equipo de seguridad basada en las puntuaciones de riesgo o para que tome medidas automáticas, como puede ser cortar la conexión de red si el sistema sospecha que se está cometiendo un ciberataque.
Un sistema UEBA podría, por ejemplo, detectar si un usuario cuyo horario de conexión habitual es de 9 a.m. a 18 p.m., se conecta a las 20 p.m. y realiza una descarga de archivos o los mueve de ubicación y emitir una alerta.
Yendo más allá del usuario y analizando y monitorizando también los eventos, el sistema UEBA puede detectar también indicios de ataques a nivel de máquina como de software, como puede ser el movimiento lateral que lleva a cabo un cibercriminal una vez se ha infiltrado en el equipo de un usuario.
Para llevar estas funciones a cabo, UEBA se basa en tres componentes principales:
- Analítica de datos del comportamiento normal de los usuarios y eventos para elaborar un perfil o línea base para comparar los datos recibidos durante el monitoreo y análisis de usuarios y eventos posteriores.
- Integración de datos de diferentes fuentes.
- Presentación de datos para mostrar los hallazgos hechos por el sistema. Puede ser la emisión de una notificación o alerta para que un analista de seguridad investigue el comportamiento anormal detectado.
¿Necesita tu empresa un sistema UEBA?
Con el incremento de los ciberataques y, especialmente, de las amenazas internas, un sistema UEBA es una solución que puede ayudarte a reforzar la ciberseguridad de tu empresa, especialmente si manejas información o datos confidenciales, utilizas servicios en la nube, dispositivos móviles y/o IoT (Internet de las cosas), puesto que permite detectar comportamientos que se salen de la norma, tanto de usuarios como de equipos, redes y dispositivos.
El sistema UEBA complementa a otras soluciones de seguridad, si bien no se trata de un sistema preventivo exactamente, sino que se emplea para la detección en tiempo real de posibles riesgos basados en la forma en que los usuarios y los eventos se comportan habitualmente. En ese sentido, no busca firmas o intrusos, sino que a través de las acciones dentro del sistema, puede determinar si un usuario se ha convertido en una amenaza.
Ventajas de UEBA
- Permite detectar el abuso de privilegios internos cuando los usuarios realizan acciones que se salen de su comportamiento habitual.
- Prioriza los incidentes, reduciendo los falsos positivos y contribuyendo a eliminar la fatiga de alertas del personal de seguridad.
- Evita la exfiltración o robo de datos, ya que alerta cuando se mueven datos confidenciales dentro de la red o se transfieren fuera de esta.
- Detecta el movimiento lateral de los cibercriminales cuando estos acceden con credenciales robadas a la red interna.
- Puede configurarse para que dé respuestas automáticas frente a determinados incidentes.
- Puede contribuir a reducir el personal de seguridad necesario para llevar a cabo el análisis de datos.
Desventajas de UEBA
- La implantación inicial de un sistema UEBA tiene un coste elevado.
- Requiere cierto nivel de formación para poder trabajar e interpretar los informes y datos suministrados por el sistema.
- Para ser realmente efectivo, necesita trabajar en conjunto con otras soluciones de seguridad.
- Si se comienza desde cero, es necesario entrenar el sistema, ya sea sobre la marcha de forma semi supervisada o previamente de manera supervisada.
UEBA vs. SIEM ¿Cuál es mejor?
Un software SIEM (Seguridad de la Información y Gestión de Eventos) emplea diferentes herramientas de seguridad, que permiten monitorear la red y los dispositivos conectados a ella para detectar, responder y neutralizar amenazas informáticas. En ese sentido, UEBA y SIEM funcionan de forma similar, ya que ambos se centran en la detección de amenazas en tiempo real, sin embargo, sus métodos son diferentes.
Mientras que un sistema UEBA, como hemos visto, se basa en el análisis de comportamiento de usuarios y eventos, para detectar comportamientos que se salen de lo normal enfrentados a la línea base establecida, SIEM se basa en reglas diseñadas de antemano para detectar las amenazas, lo que hace que sea «más predecible» y, por tanto, posible de burlar con ataques más sofisticados y complejos, que no se basan en amenazas conocidas.
Sin embargo, no podemos decir que hay un enfrentamiento UEBA vs. SIEM, ya que lo ideal es usar ambos sistemas de manera complementaria, especialmente, porque los datos recopilados por SIEM pueden alimentar también el sistema UEBA. Al final, se trata de proteger tanto el perímetro como el interior del sistema y la red, de manera que se puedan detectar y eliminar tanto las amenazas externas como las amenazas internas.
3 razones para usar una solución UEBA
Hay 3 razones que recomiendan el uso de una solución UEBA para mejorar la ciberseguridad de la empresa:
- Reduce la superficie de ataque de los sistemas informáticos de la empresa, ya que puede informar al equipo de IT de los puntos débiles en los sistemas, para solucionarlos.
- Gracias al aprendizaje automático y la automatización, un sistema UEBA reduce la carga de trabajo manual del equipo de IT, permitiendo que estos se centren en contrarrestar ataques reales y no estar pendientes de todas las alertas que se generan.
- UEBA aporta la capacidad de detectar mucho más rápido la exfiltración de datos, incluso antes de que llegue a producirse, las cuentas que han sido secuestradas o comprometidas y previene el mal uso de los privilegios de usuario.