UEBA significa análisis de comportamiento de usuarios y entidades. Anteriormente conocido como análisis del comportamiento del usuario, UEBA es el proceso de seguimiento de anomalías en el comportamiento del usuario para identificar posibles riesgos o amenazas de ciberseguridad. La idea es tener un gran conjunto de datos sobre los comportamientos de los usuarios y usar variaciones de la norma de datos dentro de ese conjunto para activar alertas o acciones específicas que puedan evitar de forma proactiva los ciberataques o detenerlos antes de que causen demasiado daño.
¿Cómo funciona UEBA?
La UEBA realiza un seguimiento del comportamiento de los usuarios y las entidades de una organización para distinguir el comportamiento normal del comportamiento anormal. En el contexto de la ciberseguridad, un usuario o una entidad puede ser cualquier sistema de TI, proceso comercial u organización (incluido el gobierno).
La UEBA monitorea a estos usuarios y entidades revisando y analizando constantemente sus datos para determinar si una actividad o comportamiento en particular es anómalo y, por lo tanto, potencialmente peligroso porque podría provocar un ciberataque.
Por ejemplo, un hacker podría robar la contraseña de un empleado e iniciar sesión en un sistema. Una vez dentro de ese sistema, es probable que el hacker se comporte de una manera totalmente diferente de la forma en que el usuario se ha comportado históricamente y, por lo tanto, activaría alertas de ciberamenazas.
UEBA logra este sofisticado seguimiento de anomalías a través de una combinación de aprendizaje automático, análisis estadístico y análisis avanzado. Por lo general, un sistema UEBA establece una “línea base” para el comportamiento del usuario y compara la actividad con esta línea base.
UEBA frente a SIEM: ¿En qué se diferencian?
La administración de eventos e información de seguridad (SIEM) utiliza tableros para proporcionar una vista holística de toda la información y los eventos relacionados con la seguridad, y luego activa alertas si es necesario. Las plataformas SIEM recopilan y agregan datos de varias herramientas de seguridad y sistemas de TI y luego analizan esos datos.
Los sistemas UEBA, por otro lado, aplican el aprendizaje automático para analizar el comportamiento del usuario y, por lo tanto, pueden usar esta información para predecir una posible amenaza cibernética y enviar alertas en tiempo real. SIEM es el proceso original, pero las empresas pronto descubrieron que la incorporación de estrategias de UEBA en SIEM hizo que SIEM fuera mucho más eficaz para monitorear las amenazas en tiempo real y responder rápidamente. Esto se debe a que UEBA rastrea y analiza el comportamiento del usuario, mientras que SIEM no lo hace.
UBA frente a UEBA: ¿Son iguales?
Comprender la diferencia entre el análisis del comportamiento del usuario (UBA) y la UEBA se reduce a comprender por qué se agregó la “E” y quién la agregó.
La “E” en “UEBA” significa “entidad” y provino de una Guía de mercado de Gartner publicada en 2017. Esa fue la primera vez que se usó “UEBA” en lugar de “UBA”. Hasta entonces, el enfoque principal de la tecnología de UBA era el robo de datos y el fraude. Pero las empresas pronto se dieron cuenta de que las ciberamenazas comenzaban a provenir de lugares que iban mucho más allá de los usuarios, incluidos los puntos finales gestionados y no gestionados, las aplicaciones móviles y en la nube, las redes y varias amenazas externas. Gartner se refería a estas otras fuentes de riesgo cibernético como “entidades”.
En resumen, UBA y UEBA no son lo mismo, pero están muy estrechamente relacionados. UEBA es la versión más actualizada de UBA.
UEBA frente a SOAR: ¿Cuál es mejor?
Las herramientas de orquestación, automatización y respuesta de seguridad (SOAR) permiten que las organizaciones respondan más rápido a las amenazas de seguridad mediante la recopilación y centralización de datos de diferentes sistemas y plataformas. De esta manera, las herramientas SOAR se consideran un método para lograr una “única fuente de verdad” para todos los datos y actividades relacionados con la ciberseguridad. Los sistemas SOAR también pueden utilizarse para automatizar las respuestas a amenazas de seguridad de bajo nivel.
Si bien SOAR enfatiza la automatización, la recopilación de datos y la agregación, UEBA se centra en el análisis del comportamiento del usuario y la entidad. SOAR puede acelerar las cosas, pero UEBA puede encontrar anomalías que SOAR no puede. Como tal, ninguna herramienta ni método es mejor que el otro. Más bien, son complementarios, con diferentes beneficios y probablemente se usen mejor en conjunto.
Tres razones para usar UEBA
UEBA es una herramienta potente para monitorear y limitar las posibles amenazas cibernéticas. Estas son las tres razones principales para usar UEBA:
- Menor superficie de ataque
La UEBA informa a los equipos de seguridad sobre las brechas y los puntos débiles en sus sistemas, lo que reduce el potencial de ciberataques al reducir la superficie de ataque general.
- Eficiencia operativa mejorada
La UEBA puede reducir la carga de trabajo manual de los equipos de seguridad mediante la automatización y el aprendizaje automático para identificar y validar amenazas. Esto les da a los profesionales de la seguridad más tiempo para enfocarse en amenazas reales en lugar de perseguir alertas.
- Superpoderes
“Superpoderes” puede ser una exageración, pero la UEBA aporta ciertos poderes especiales relacionados con la ciberseguridad a una organización, incluida la capacidad de detectar la posible exfiltración de datos antes de que ocurra, identificar cuentas secuestradas y evitar el uso indebido de privilegios.
Por estos motivos, el UEBA, especialmente en combinación con otras estrategias como SOAR, es una forma extremadamente eficaz de identificar y prevenir de manera proactiva los ciberataques y reducir la exposición de una organización a las ciberamenazas.