UEBA significa análisis de comportamiento de usuarios y entidades. Anteriormente conocido como análisis de comportamiento de usuarios, UEBA es el proceso de seguimiento de las anomalías en la conducta de los usuarios para identificar los posibles riesgos o amenazas para la ciberseguridad. La idea consiste en tener un gran conjunto de datos sobre las conductas de los usuarios y las variaciones de uso respecto de la norma de los datos de dicho conjunto, para generar alertas o acciones específicas con el fin de repeler los ciberataques o de detenerlos antes de que causen demasiados daños.
¿Cómo funciona un sistema UEBA?
Una solución UEBA hace un seguimiento de la conducta de los usuarios y las entidades de una organización, para distinguir el comportamiento normal del anormal. En el contexto de la ciberseguridad, un usuario o una entidad pueden ser cualquier sistema informático, proceso empresarial u organización (incluida una organización de la administración).
La solución UEBA supervisa a estos usuarios y entidades, revisando y analizando constantemente sus datos para determinar si una actividad o conducta concretas son anómalas y, por lo tanto, potencialmente peligrosas, debido a que podrían desembocar en un ciberataque.
Por ejemplo, un hacker podría robar la contraseña de un empleado e iniciar sesión en un sistema. Una vez dentro del sistema, el hacker podría comportarse de una manera totalmente distinta a como se ha comportado históricamente el empleado y esto es lo que generaría las alertas de ciberamenaza.
La solución UEBA consigue realizar este sofisticado seguimiento de las anomalías mediante una combinación de aprendizaje automático, análisis de estadísticas y análisis avanzados. Normalmente, un sistema UEBA establece una “base de referencia” de la conducta del usuario y compara la actividad con esta referencia.
UEBA versus SIEM: ¿en qué se diferencian?
La gestión de la información y los eventos de seguridad (SIEM) utiliza un panel de control para proporcionar una visión global de toda la información y todos los eventos relacionados con la seguridad y luego genera alertas si es necesario. Las plataformas SIEM recogen y agregan los datos de varias herramientas de seguridad y sistemas informáticos y luego analizan dichos datos.
Los sistemas UEBA, por su parte, aplican el aprendizaje automático para analizar el comportamiento de los usuarios y, por lo tanto, pueden usar esa información para predecir una posible ciberamenaza y enviar alertas en tiempo real. El SIEM es el proceso original, pero las empresas pronto vieron que la incorporación de las estrategias UEBA en una solución SIEM hacía que esta fuera mucho más eficaz a la hora de responder a las amenazas en tiempo real y de responder rápidamente. Eso se debe a que el sistema UEBA hace un seguimiento y un análisis de la conducta de los usuarios y el SIEM no.
UBA versus UEBA: ¿son lo mismo?
Para entender la diferencia entre el análisis de la conducta de usuarios (UBA) y el UEBA hay que entender por qué se añadió la “E” y quién lo hizo.
La “E” de “UEBA” significa “entidad” y viene de una Guía de Mercado de Gartner publicada en 2017. Esa fue la primera vez que se utilizó el término “UEBA” en lugar de “UBA”. Hasta entonces, el objetivo principal de la tecnología UBA era detectar el robo de datos y el fraude. Pero las empresas pronto se dieron cuenta de que las ciberamenazas empezaban a llegar de otros sitios que no eran los usuarios, como, por ejemplo, puntos de conexión administrados y no administrados, aplicaciones móviles y de la nube, redes y distintas amenazas externas. Gartner se refirió a esas otras fuentes de ciberriesgo como “entidades”.
Así que, resumiendo, UBA y UEBA no son lo mismo, pero están estrechamente relacionados. El UEBA es la versión más actualizada del UBA.
UEBA versus SOAR: ¿qué es mejor?
Las herramientas de orquestación, automatización y respuesta de seguridad (SOAR) permiten que las organizaciones respondan más rápidamente a las amenazas para la seguridad, al recoger y centralizar los datos de los diferentes sistemas y plataformas. Por ello, las herramientas SOAR son vistas como un método de conseguir una “fuente única de información verídica” para todos los datos y actividades relacionados con la ciberseguridad. Los sistemas SOAR también pueden usarse para automatizar las respuestas a las amenazas de bajo nivel para la seguridad.
El sistema SOAR pone el énfasis en la automatización, la recogida de datos y la agregación, mientras que el sistema UEBA se centra en el análisis de la conducta de los usuarios y las entidades. El SOAR puede acelerar las cosas, pero el UEBA puede detectar anomalías que el SOAR es incapaz de detectar. Por lo tanto, como tal, ningún método o herramienta es mejor que el otro. En lugar de ello, son complementarios, ya que aportan diferentes beneficios y probablemente lo mejor es usarlos conjuntamente.
Tres razones para usar una solución UEBA
Una solución UEBA es una herramienta potente de supervisión y de limitación de las posibles ciberamenazas. Estas son las tres razones principales por las que conviene usarla:
- Menor superficie de ataque
Una herramienta UEBA informa a los equipos de seguridad de las lagunas y los puntos débiles de sus sistemas, con lo que reduce la posibilidad de que se produzca un ciberataque al disminuir la superficie global expuesta a los ataques.
- Mejora de la eficiencia operativa
Una herramienta UEBA puede reducir la carga de trabajo manual de los equipos de seguridad, gracias al uso de la automatización y el aprendizaje automático para identificar y validar las amenazas. Esto hace que los profesionales de la seguridad dispongan de más tiempo para centrarse en los ataques reales, en lugar de tener que ir detrás de las alertas.
- Superpoderes
La palabra “superpoderes” puede ser una exageración, pero una solución UEBA proporciona a una organización ciertos poderes especiales relacionados con la ciberseguridad, como la capacidad para detectar la posible exfiltración de datos antes de que se produzca, la identificación de las cuentas secuestradas y la prevención del mal uso de los privilegios.
Por estas razones, la solución UEBA, sobre todo combinada con otras estrategias como un sistema SOAR, es una forma muy eficaz de identificar y prevenir de manera proactiva los ciberataques y de reducir la exposición de una organización a las ciberamenazas.