¿Qué es UEBA?

El análisis de comportamiento de usuarios y entidades (UEBA) ayuda a reducir los riesgos al identificar comportamientos atípicos y sospechosos.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "UEBA"
  • Entender cómo funciona UEBA
  • Identificar los casos de uso clave y las ventajas de UEBA

Copiar enlace del artículo

¿Qué es UEBA?

El análisis de comportamiento de usuarios y entidades (UEBA) es un conjunto de capacidades de ciberseguridad que emplea análisis de datos y aprendizaje automático (ML) para detectar comportamientos inusuales y potencialmente peligrosos de usuarios, dispositivos y otras entidades. Acuñado por Gartner en 2015, el término amplía el concepto de análisis del comportamiento del usuario (UBA), añadiendo el comportamiento de los dispositivos y entidades, que pueden ir desde servidores y enrutadores hasta teléfonos inteligentes y dispositivos de Internet de las cosas (IoT) .

UEBA determina el comportamiento típico del usuario y del dispositivo, identifica las desviaciones de ese comportamiento y puntúa las desviaciones según su riesgo de seguridad. Así, por ejemplo, un empleado podría iniciar sesión en el correo electrónico en la nube todas las mañanas a las 8:00 a.m. PT desde San Francisco. Si ese mismo empleado inicia sesión en una base de datos de clientes de Londres solo unas horas después, y empieza a descargar grandes cantidades de información confidencial y privada, UEBA identificaría esto como un comportamiento anómalo y potencialmente de alto riesgo.

Al examinar una amplia gama de comportamientos y destacar las divergencias de lo habitual, UEBA puede desempeñar un papel fundamental en los esfuerzos de detección de amenazas y gestión de riesgos de una organización. UEBA puede aumentar las capacidades de seguridad existentes, usar un modelo de seguridad Zero Trust y ayudar a las organizaciones a mantener el cumplimiento de los requisitos normativos.

¿Cómo funciona UEBA?

Las capacidades de UEBA primero establecen una línea de base para el comportamiento típico de los usuarios y dispositivos al observar una amplia gama de datos, tales como:

  • actividad del usuario: intentos de inicio de sesión, acceso a archivos, uso de aplicaciones y comandos del sistema
  • tráfico de red, como direcciones IP de origen y destino, puertos y protocolos
  • datos de autenticación — éxitos y fallos de inicio de sesión

Esos datos pueden provenir de una variedad de plataformas o herramientas, que incluyen: puertas de enlace web seguras, servicios de acceso a la red Zero Trust, servicios de prevención de pérdida de datos (DLP), firewalls, enrutadores, VPN, soluciones de gestión de identidad y acceso (IAM), sistemas de detección y prevención de la intrusión (IDPS), software antivirus y bases de datos de autenticación, entre otras fuentes. Estos servicios y soluciones de seguridad pueden formar parte de plataformas de perímetro de servicio de acceso seguro (SASE) y de perímetro de servicio de seguridad (SSE) .

Las capacidades de aprendizaje automático aprenden de los datos ingeridos continuamente y refinan la línea de base del comportamiento a lo largo del tiempo (Cloudflare utiliza un enfoque similar para la gestión de bots, midiendo el comportamiento típico en una aplicación web y luego comparando las nuevas interacciones con esa línea de base para identificar el bot).

Al recopilar y analizar datos, los modelos UEBA pueden detectar cualquier comportamiento que se desvíe de los patrones normales o de las políticas de seguridad de una organización. Por ejemplo, estas capacidades se darían cuenta si un usuario inicia sesión desde una ubicación diferente a la normal, en un momento atípico. Este comportamiento podría indicar que se han robado las credenciales de un empleado.

Cuando las capacidades de UEBA identifican cualquier comportamiento inusual o sospechoso, asignan una puntuación de riesgo del usuario basada en el riesgo que el comportamiento representa para la organización. Unos pocos intentos fallidos de inicio de sesión durante la jornada laboral podrían recibir una puntuación baja, probablemente un usuario olvidó una contraseña. Sin embargo, otras desviaciones en el comportamiento podrían indicar un riesgo de cuenta, infracciones de las políticas de la empresa o una fuga de datos. Algunos ejemplos de comportamientos de riesgo que podrían poner en marcha acciones de mitigación de riesgos relacionadas con la UEBA son:

  • Viaje imposible: cuando un usuario completa un inicio de sesión desde dos ubicaciones diferentes en un periodo de tiempo que no es físicamente posible (por ejemplo, la empleada "Alice" en Nueva York inicia sesión en el sistema de nómina de su organización, pero unos minutos más tarde inicia sesión en su suite de productividad en la nube en Sydney)
  • Infracciones de prevención de pérdida de datos (DLP): cuando la información comercial confidencial, la información de identificación personal u otros movimientos de datos confidenciales se manipulan de forma indebida (por ejemplo, si un empleado carga datos privados de la empresa en un bot de chat de IA de terceros)
  • Uso de dispositivos de riesgo: como empleados remotos que utilizan portátiles que no tienen las últimas actualizaciones del sistema operativo, o el uso de enrutadores con vulnerabilidades sin parchear

Casos de uso de UEBA

UEBA puede admitir varios casos de uso tácticos y estratégicos.

  • Seguridad Zero Trust: Zero Trust es un modelo de seguridad informática que verifica la identidad de cada persona y dispositivo que intenta acceder a la aplicación o a los datos en una red corporativa. Las capacidades de UEBA podrían complementar, o ser un componente de, una solución de Acceso a la red Zero Trust (ZTNA) . Con las capacidades de UEBA, los equipos de seguridad pueden ver quién accede a la red, qué dispositivos están utilizando y si los usuarios y dispositivos están infringiendo alguna política. Los equipos pueden conceder acceso en función del contexto de una solicitud y de la evaluación de si una solicitud se alinea con los comportamientos típicos de los usuarios.
  • Punto final en riesgo: los atacantes podrían encontrar formas de infiltrarse en dispositivos móviles o IoT, que a menudo están menos protegidos que los servidores empresariales o las aplicaciones. Al supervisar el comportamiento de los dispositivos, UEBA puede descubrir los dispositivos en riesgo antes de que los atacantes puedan penetrar más profundamente en la red corporativa.
  • Amenaza interna: el análisis de comportamiento puede ayudar a identificar a los usuarios internos maliciosos, como los usuarios que intentan atacar una red corporativa o robar datos confidenciales. Al mismo tiempo, UEBA puede ayudar a determinar cuándo las credenciales o los dispositivos de un usuario se han visto comprometidos, por ejemplo, mediante un ataque de phishing o el robo de un dispositivo. UEBA puede detectar comportamientos atípicos, incluso cuando se han empleado credenciales legítimas.
  • Cumplimiento normativo: una organización podría implementar UEBA para ayudar a mantener el cumplimiento de las normas o reglamentos, como los que rigen la seguridad informática y la privacidad de los datos para los servicios financieros o las organizaciones sanitarias. Al identificar los comportamientos de los usuarios y los dispositivos que se desvían de las políticas o normas establecidas, UEBA podría detectar problemas antes de que la organización ponga en peligro el cumplimiento de reglas y normativas críticas.

¿Cuáles son las ventajas de UEBA?

La implementación de UEBA puede beneficiar a las organizaciones de muchas maneras.

  • Menor riesgo: como UEBA se puede aplicar a cualquier usuario y dispositivo conectado a una red, puede ayudar a reducir los riesgos incluso cuando se amplía la superficie de ataque de una organización. UEBA puede analizar los comportamientos de los usuarios, ya sea que los empleados trabajen desde casa, en la oficina o en cualquier otro lugar. Mientras tanto, también puede supervisar potencialmente el comportamiento de los dispositivos en cualquier lugar: por ejemplo, servidores y enrutadores en centros de datos corporativos, dispositivos IoT en fábricas o dispositivos médicos en hospitales.
  • Detección de amenazas mejorada: UEBA puede ayudar a identificar y detener varios tipos de amenazas, como amenazas internas, cuentas en riesgo, intentos de descifrar una contraseña por fuerza bruta, ataques de denegación de servicio distribuido (DDoS) y otros.
  • Menos necesidad de análisis manual: las capacidades de aprendizaje automático y automatización ayudan a reducir el trabajo del equipo de operaciones de seguridad (SecOps), el cual requiere mucho tiempo para analizar los datos de registro para identificar amenazas legítimas. Los miembros de los equipos informáticos y de seguridad pueden centrarse en otras tareas.
  • Conformidad sostenida: UEBA permite a las organizaciones mantener la conformidad identificando rápidamente los comportamientos problemáticos, antes de que provoquen fugas a gran escala. A través de la supervisión y el análisis continuos, las organizaciones también pueden agilizar la auditoría y evitar potencialmente costosos esfuerzos de corrección a gran escala.
  • Reducción de costes: al identificar las amenazas a tiempo, las organizaciones pueden evitar los altos costes de las fugas.

¿Cuáles son las desventajas de UEBA?

Aunque la implementación de UEBA tiene muchos beneficios potenciales, las organizaciones también deben ser conscientes de los posibles inconvenientes. Por ejemplo:

  • Costes: algunas soluciones UEBA independientes pueden ser demasiado caras para las pequeñas y medianas empresas.
  • Complejidad: aunque las capacidades de aprendizaje automático y automatización reducen la necesidad de análisis humanos del registro de eventos, la configuración de políticas y el envío de alertas siguen requiriendo analistas de seguridad.
  • Limitaciones: UEBA puede identificar una amplia gama de amenazas, pero aún así debe integrarse con otras capacidades para una gestión de riesgos más integral y unificada.

Cómo UEBA complementa SIEM

Las capacidades de UEBA complementan las soluciones de gestión de eventos e información de seguridad (SIEM) al ofrecer:

  • Centrarse en los usuarios: mientras que SIEM analiza los eventos, UEBA examina el comportamiento de los usuarios y los dispositivos, lo que puede ayudar a evaluar los riesgos de los usuarios y detectar amenazas internas.
  • Seguimiento de amenazas a largo plazo: SIEM identifica los eventos de seguridad en tiempo real. UEBA complementa ese trabajo identificando amenazas a largo plazo y en evolución mediante la supervisión y la puntuación del comportamiento continuo.
  • Aprendizaje y adaptación continuos: UEBA utiliza análisis de comportamiento y aprendizaje automático para facilitar el aprendizaje y la adaptación a lo largo del tiempo. Como resultado, los modelos UEBA pueden mejorar las capacidades de SIEM al identificar amenazas nuevas y emergentes sin necesidad de intervención humana.

La combinación de las capacidades de SIEM y UEBA puede mejorar la visibilidad de la seguridad y fortalecer la capacidad de una organización para identificar y detener las amenazas, al mismo tiempo que mantiene el cumplimiento. Varias soluciones SIEM incorporan capacidades UEBA.

UEBA vs. EDR

Las soluciones UEBA y de respuesta de detección del punto final (EDR) tienen varias similitudes. Ambas supervisan una serie de puntos finales, incluidos ordenadores de sobremesa, portátiles, teléfonos inteligentes y dispositivos IoT . Además, las soluciones EDR, como UEBA, pueden utilizar análisis de comportamiento y aprendizaje automático para detectar comportamientos atípicos y sospechosos.

Sin embargo, UEBA también puede complementar y ampliar la funcionalidad de las soluciones EDR analizando los comportamientos de los usuarios de punto final.

¿Es Cloudflare compatible con UEBA?

UEBA es un componente clave de Cloudflare for Unified Risk Posture, una suite de capacidades en la que convergen soluciones de seguridad SASE y aplicación web y API (WAAP) a través de una única plataforma.

Cloudflare permite a las empresas implementar la evaluación, el intercambio y la aplicación automatizados y dinámicos de la postura de riesgo en toda su superficie de ataque en expansión, a la vez que reduce la complejidad de la gestión.

Obtenga más información sobre Cloudflare for Unified Risk Posture.