Análisis de comportamiento de usuarios y entidades (UEBA)
volver al blog

Publicado el 03-11-2018 bajo la categoría

A medida que van surgiendo nuevas amenazas, o que las ya existentes evolucionan para dificultar su prevención y detección, se hace necesario contar con tecnología que nos ayude a responder ante éstas. Algunas de estas amenazas hacen que soluciones actuales de prevención y detección no sean suficientes, lo que nos obliga a dar una "vuelta de tuerca" a estas soluciones para que sean capaces de frenarlas. La gran mayoría de las organizaciones cuentan con las típicas soluciones de seguridad perimetral, antivirus o DLP (Data Loss Prevention) que nos ayudan a prevenir y detectar una amplia gama de amenazas que podrían poner en riesgo la información o los sistemas de tratamiento de ésta, pero no es suficiente.

Movimientos laterales en la red, fugas de información o el uso fraudulento de cuentas comprometidas difícilmente serán detectadas por este tipo de medidas técnicas. De hecho, la gran mayoría de este tipo de soluciones se basan en firmas, es decir, en amenazas conocidas, de ahí que la aplicación del Machine Learning en la ciberseguridad nos pueda ayudar a rellenar ese "gap" en cuanto a la prevención y detección de nuevas amenazas. Un claro ejemplo de este tipo de soluciones son los UEBA (User Entity Behavior Analytics), herramientas que nos permiten hacer un análisis de comportamiento de los usuarios y otros objetos en nuestras redes. En este artículo os hablaré de la solución Introspect de Aruba, la cual considero una de las soluciones más potentes en este ámbito.

La idea global de una solución UEBA, o al menos particularmente de Introspect, es obtener información de diferentes fuentes como pueden ser gestores de identidades, datos de infraestructura (firewalls, servidores proxy, etc.), controles de acceso, SaaS (Software as a Service) o IaaS (Infrastructure as a Service), pero en lugar de limitarse a hacer una análisis discreto y basar su detección en firmas, utiliza un analizador interno (Introspect Analyzer) el cual, entre otros procesos, realiza un análisis de comportamiento basado en modelos de Machine Learning.

Introspect se integra perfectamente con herramientas SIEM (Security Information and Event Management) como QRadar, ArcSight, Splunk o LogRythm, capaces de recolectar y analizar los eventos de seguridad para hacérselos llegar al Analyzer de Introspect, el cual aplicará Threat Intelligence (inteligencia en amenazas) y los modelos de Machine Learning para detectar comportamientos sospechos por parte de los usuarios y objetos en las redes de la organización. Por si esto no fuera suficiente, Introspect da la opción de incorporar un Packet Broker, que recibirá una copia completa de todo el tráfico de la redes, evitando así los "blind spots" (puntos ciegos) en la red, consecuencia de una posible mala praxis como el Shadow IT.

A medida que Introspect va recibiendo y analizando información, va "aprendiendo" de las acciones habituales de los usuarios en la red, creando un histórico de estas actividades que permitirá al UEBA a detectar comportamientos inusuales. Por ejemplo, si un usuario perteneciente al grupo de usuarios de RRHH, accede solo un número determinado de veces a un servidor de ficheros, Introspect podría detectar un comportamiento inusual si un usuario realiza más accesos de los habituales. O si un usuario perteneciento al grupo de usuarios de I+D rara vez sube ficheros a Internet, Introspect podría detectar un comportamiento inusual si un usuario realiza una subida de unos ficheros. En este último ejemplo, a diferencia de soluciones de DLP, que está basado en patrones definidos como números de tarjetas de crédito, extensiones de ficheros o números de cuentas bancarias, Introspect detectaría una actividad sospechosa debido al comportamiento. Basándose en datos históricos, y no siendo habitual que un usuario de ese grupo haga subidas de ficheros (sin importar la extensión ya que analiza comportamiento), Introspect podría detectar esta actividad como sospechosa. Introspect cuenta con una puntuación interna de riesgo, a la cual denomina Entity Risk Scoring. Cada usuario y objeto de la red tendrá en todo momento una puntuación que permitirá al Introspect tomar decisiones para, por ejemplo, dar o revocar permisos de acceso.

En este punto, para poder revocar el acceso a un usuario o cortar cierto tráfico, Introspect se integra con diferentes soluciones para llevar a cabo esta labor. Una de estas soluciones, también de Aruba, es ClearPass, que es una solución NAC (Network Access Control). Introspect puede "hablar" continuamente con ClearPass para notificar por ejemplo que un usuario está llevando a cabo actividades sospechosas dentro de la red. En este caso, ClearPass podría, por ejemplo, enviar un CoA (Change of Authorization) a través del protocol 802.1x para revocar el acceso a cierto recurso, consiguiendo de esta forma una respuesta dinámica a una amenaza, previniendo una posible fuga de información o acceso no autorizado.

En este artículo se han mostrado solo un par de ejemplos del potencial de Introspect, que a día de hoy cuenta ya con más de 100 modelos (y aumentando continuamente) de Machine Learning para detectar comportamientos sospechosos en nuestras redes. Además, desde un punto de vista de respuesta a incidentes, con Introspect tenemos toda la visibilidad de lo que ha podido ocurrir en un incidente, ayudando en el proceso de análisis forense.

Por último, resaltar que con una solución UEBA como Introspect, podemos rellenar ese "gap" que comentábamos al inicio de este artículo en cuanto a la prevención y detección de nuevas amenazas, además de dar respuesta a requisitos de seguridad como los que nos exige el nuevo Reglamento General de Protección de Datos (RGPD) como puede ser garantizar la confidencialidad, integridad y disponibilidad de la información o cumplimiento de normas como ISO/IEC 27001 a través de su Anexo A o las buenas prácticas contempladas en la ISO/IEC 27002 donde se incluyen controles de seguridad relacionadas con este tipo de soluciones:

  • 9.2 - Gestión de acceso de usuario
  • 9.4 - Control de acceso a sistemas y aplicaciones
  • 12.4 - Registro de actividad y supervisión
  • 13.1 - Gestión de la seguridad de las redes

Surgen nuevas amenazas y las existentes van evolucionando, con lo que tenemos que adaptarnos a estas nuevas exigencias. Afortunadamente, existe tecnología para dar respuesta a estos nuevos requisitos, e Introspect es una de ellas.

×
×