Las organizaciones que desean agregar capacidades analíticas o de aprendizaje automático avanzadas a su arsenal de seguridad de TI tienen una solución relativamente nueva a su disposición: Análisis de comportamiento de usuarios y entidades (UEBA).
Los productos UEBA identifican patrones en el comportamiento típico del usuario y luego detecta acciones anormales que no coinciden con estos patrones y pueden presentar problemas de seguridad. Además, los sistemas UEBA detectan eventos atípicos en varias entidades (entidades), que incluyen estaciones de trabajo, software, tráfico de red, almacenamiento, etc., etc.
Se utilizan una variedad de métodos analíticos para determinar las desviaciones, incluido el aprendizaje automático. Por cierto, hay una clase de sistemas UBA que, como puede suponer, analizan solo la información asociada con los usuarios y sus roles. Las fuentes de datos para los sistemas UEBA son archivos de registro de servidores y componentes de red, sistemas de seguridad, registros locales de la PC final en funcionamiento.
Por lo general, las soluciones UEBA hacen su trabajo después de que otras herramientas de defensa cibernética no han podido identificar las amenazas dentro de la red.
Aunque las soluciones UEBA aparecieron no hace mucho tiempo, rápidamente se hicieron populares entre las grandes corporaciones. Según Gartner, las ventas de soluciones especializadas UEBA se duplican cada año. Además, muchos proveedores incluyen la funcionalidad UEBA en otras herramientas de seguridad como SIEM (información de seguridad y gestión de eventos), análisis de tráfico de red, control de identidad y acceso (IAM), protección o prevención de puntos finales. fugas de datos. Los analistas de Gartner predicen que en el transcurso de cinco años, los productos UEBA individuales que permanecerían en el mercado para entonces se convertirán en soluciones SIEM de próxima generación, mientras que otras soluciones UEBA encontrarán su nicho en otras tecnologías de seguridad.
El algoritmo de los sistemas UEBA. Fuente: Gartner
A continuación se muestra una breve descripción de los productos más populares en el segmento UEBA. Se puede encontrar más información sobre los productos en
la tabla de comparación UEBA en ROI4CIO, basada en una comparación de líderes (según el estudio de Gartner).
Exabeam analytics avanzado
Exabeam proporciona soluciones de seguridad y administración que ayudan a las organizaciones de todos los tamaños a proteger la información más valiosa. Los productos Exabeam utilizan tecnología de aprendizaje automático y análisis de comportamiento en su trabajo.
Según los expertos de Gartner, Exabeam Advanced Analytics es uno de los mejores en la categoría UBA. En comparación con los competidores, esta solución es muy fácil de aprender para los administradores o analistas de sistemas, lo que significa que su tiempo de implementación es mucho más corto. Los analistas no tienen que pasar días o semanas recolectando evidencia y trazando incidentes basados en información de SIEM. Gracias a la función de análisis avanzado, la línea de tiempo de los incidentes preconstruidos marca anomalías y muestra detalles para capturar completamente el evento y su contexto.
Lo que antes llevaba semanas ahora se puede hacer en segundos. La interfaz de usuario del producto es conveniente, la navegación y la visualización de datos históricos son extremadamente rápidas. La solución contiene cientos de modelos incorporados, algunos de los cuales son únicos, no se pueden encontrar entre los competidores, que es la principal ventaja del producto. La compañía ofrece soporte técnico calificado para sus soluciones.
Pero la herramienta de informes, desafortunadamente, está prácticamente ausente. El usuario puede imprimir / exportar el contenido de la ventana del navegador, enviar alertas sobre sesiones anormales al sistema SIEM, o simplemente puede tomar capturas de pantalla. Si necesita algo más, debe recurrir al uso de una herramienta alternativa. Ver más de una docena de eventos en la línea de tiempo requiere un monitor de alta resolución, aunque incluso en este caso no caben más de 20 eventos. Hay una función de búsqueda personalizada que utiliza el panel de búsqueda "Threat Hunter", que ofrece una buena funcionalidad.
Micro Focus Security ArcSight UBA
ArcSight User Behavior Analytics proporciona a las empresas información detallada sobre sus usuarios, lo que simplifica enormemente la generación de datos de comportamiento para ayudar a mitigar las amenazas. Ayuda a detectar e investigar el comportamiento malicioso de los usuarios, las amenazas internas y el abuso de cuentas. Por lo tanto, permite a las organizaciones detectar violaciones antes de que causen daños significativos.
ArcSight User Behavior Analytics ayuda a los clientes a reducir el riesgo de ataques cibernéticos y a detectar comportamientos anormales al comparar los registros del sistema de administración de autenticación de usuarios con otros registros de TI generados por aplicaciones y redes. Además, el producto proporciona una respuesta más rápida a las amenazas identificadas a través de una integración más profunda con SIEM, así como una investigación de incidentes más rápida. El hecho es que la UBA analiza los datos relacionados con los usuarios, identifica las desviaciones y las compara con análogos, actividad histórica y / o violaciones del comportamiento esperado predeterminado.
De esta manera, ArcSight UBA detecta un comportamiento anormal del usuario, lo cual es muy importante para detectar piratería o abuso de cuenta. Micro Focus ofrece los casos de uso más maduros y probados para la seguridad en UBA y una integración simbiótica sin fisuras con SIEM.
Forcepoint UEBA
La solución Forcepoint User and Entity Behavior Analytics (UEBA) permite a los equipos de seguridad monitorear proactivamente el comportamiento anormal de alto riesgo dentro de una organización. La plataforma de protección analítica crea un contexto inigualable al combinar datos estructurados y no estructurados para identificar y bloquear usuarios malintencionados, comprometidos y negligentes. Forcepoint detecta varios problemas críticos, como cuentas comprometidas, espionaje corporativo, robo de propiedad intelectual y fraude.
Al evaluar los matices de la interacción de personas, datos, dispositivos y aplicaciones, Forcepoint UEBA prioriza los plazos para los grupos de seguridad. La solución de software Forcepoint se basa en cuatro principios:
Rico contexto. El producto reúne contenido recopilado de fuentes de datos dispares. Por lo tanto, complementando las capacidades de las soluciones SIEM y otras soluciones en el campo de la seguridad de la información, para identificar y prevenir acciones no deseadas de los usuarios.
Análisis de comportamiento. Forcepoint UEBA emplea varios tipos de análisis rigurosos de comportamiento y contenido centrados en detectar cambios, patrones y anomalías para detectar mejor los ataques complejos.
Búsqueda y descubrimiento. Proporciona poderosas herramientas de investigación y detección forense a través de una interfaz de usuario contextual para monitoreo continuo e investigación en profundidad.
Flujo de trabajo intuitivo. Proporciona informes proactivos que se integran completamente con el flujo de trabajo del administrador del sistema y la arquitectura de información del cliente existente para optimizar la eficiencia operativa.
Análisis de comportamiento del usuario Splunk
Una de las principales fortalezas del análisis de comportamiento del usuario de Splunk es la detección de amenazas desconocidas y comportamientos anormales mediante el aprendizaje automático.
Splunk User Behavior Analysis ofrece las siguientes características:
Detección avanzada de amenazas. El producto detecta anormalidades y amenazas desconocidas que las herramientas de seguridad tradicionales pasan por alto.
Mayor rendimiento. Automatiza la combinación de cientos de anomalías detectadas en una sola amenaza, lo que simplifica enormemente la vida de un analista de seguridad
Potentes capacidades de investigación de incidentes. La solución utiliza capacidades de investigación profundas y potentes características básicas de comportamiento para cualquier entidad, anomalía o amenaza.
Visibilidad y detección mejoradas. Automatiza la detección de amenazas mediante el aprendizaje automático, que le permite pasar más tiempo eliminando las amenazas y mejorando la seguridad.
Caza acelerada de amenazas. El análisis de comportamiento del usuario de Splunk identifica rápidamente objetos anómalos sin involucrar la participación humana. La solución contiene una amplia gama de diferentes tipos de anomalías (más de 65) y clasificaciones de amenazas (más de 25) para usuarios, cuentas, dispositivos y aplicaciones.
Recursos SOC aumentados. Combina automáticamente cientos de anomalías observadas en varias entidades (usuarios, cuentas, dispositivos y aplicaciones) en una amenaza común para una respuesta más rápida.
Securonix UEBA
La solución Securonix UEBA presenta capacidades analíticas avanzadas basadas en el aprendizaje automático. Entre las ventajas del producto, se debe tener en cuenta lo siguiente:
Reducción del riesgo de amenazas internas. Securonix crea un perfil de riesgo exhaustivo para cada usuario en el entorno de la empresa basado en información sobre identidad, empleo, violaciones de seguridad, acceso y actividad de TI, acceso físico e incluso registros telefónicos.
El producto identifica áreas de riesgo real al comparar la actividad del usuario con sus líneas de base individuales, las líneas de base de los grupos a los que pertenecen e indicadores de amenazas bien conocidos. Los resultados se evalúan y presentan en cuadros de mando interactivos.
Mejor visibilidad en tu nube. Aquí vale la pena señalar características tales como el monitoreo de nube a nube con API integradas para todas las principales infraestructuras de nube y tecnologías de aplicación; detección de actividad maliciosa mediante el análisis de derechos de usuario y eventos; correlación de la nube y los datos locales para agregar información sobre el contexto del objeto. Además, debe indicarse un análisis de extremo a extremo de los patrones de amenaza, dando lugar a una respuesta.
Detección proactiva de fraude en la empresa. El producto es capaz de identificar ataques fraudulentos complejos que generalmente evitan los métodos de detección basados en firmas utilizando un comportamiento avanzado sin firma y métodos de análisis anormales entre pares. También vale la pena señalar las funciones de detección de secuestro de cuenta, comportamiento anormal del usuario, fraude de transacciones y violaciones de lavado de dinero.
Resumen
Los sistemas de clase UEBA / UBA son un elemento importante para identificar tipos desconocidos de amenazas, ataques APT, así como empleados que violan las reglas de IS dentro de la empresa. Los productos UEBA se centran en cuatro tareas básicas.
En primer lugar, un análisis simple y avanzado de información de varias fuentes utilizando métodos de aprendizaje automático, periódica o continua, en tiempo real. En segundo lugar, los UEBA están diseñados para la detección operativa de ataques y otras anomalías que generalmente no son detectadas por las herramientas clásicas de seguridad de la información.
En tercer lugar, esta es la determinación de la importancia de los eventos recopilados de diversas fuentes (sistemas como SIEM, DLP, AD, etc.) para responder rápidamente a los administradores de seguridad de la información.
Cuarto, una respuesta poderosa a los eventos, asegurada por el hecho de que los administradores de SI tienen información completa y detallada sobre el incidente.
Se pueden encontrar más productos UEBA e información más detallada sobre ellos en la tabla de comparación UEBA en ROI4CIO.
Autor de la revisión: Oleg Pilipenko, para ROI4CIO