Analizar a sus usuarios puede prevenir ciberamenazas

Selene Aguero

El enfoque UBA almacena datos sobre roles, aplicaciones, accesos y permisos que tienen los usuarios para analizarlos y establecer alertas sobre posibles amenazas.

CIO

Día tras día, un empleado usa credenciales legítimas para acceder a sistemas corporativos desde una oficina de la empresa durante el horario laboral. El sistema se mantiene seguro.

Pero, de repente, las mismas credenciales se usan pasada la medianoche para conectarse a un servidor de base de datos y correr queries que ese usuario nunca antes realizó. ¿El sistema sigue estando seguro?

Tal vez. Los administradores de bases de datos tienen que hacer mantenimiento, después de todo, y estas tareas generalmente se hacen fuera del horario de oficina.

Podría ser que ciertas operaciones de mantenimiento requieran la ejecución de queries nuevas. Pero tal vez no. Las credenciales del usuario pueden haber quedado comprometidas y estar siendo usadas para una filtración de datos.

Le recomendamos:  Con la fuerza de un Jedi evite que sus data center sean invadidos

Con los controles de seguridad convencionales, no hay una respuesta clara y definida.

Las defensas perimetrales estáticas ya no son adecuadas en un mundo en que las filtraciones de datos se hacen, cada vez más, con credenciales robadas. Y nunca fueron demasiado útiles contra los maliciosos internos, que abusan de sus privilegios.

El ambiente actual del BYOD también puede dejar el perímetro estático en ruinas, ya que hay que agregar continuamente nuevas reglas para el acceso externo.

Un nuevo enfoque llamado “análisis del comportamiento del usuario” (UBA, por sus siglas en inglés) puede eliminar este trabajo de suposición usando algoritmos de aprendizaje automático y big data para evaluar el riesgo, casi en tiempo real, de la actividad del usuario.

El UBA emplea modelos para establecer cómo es la conducta normal.

Estos modelos incorporan información sobre: roles y títulos de usuarios de los directorios o las aplicaciones de recursos humanos, incluyendo accesos, cuentas y permisos; datos de actividad y ubicación geográfica compilados de la infraestructura de red; alertas de soluciones de seguridad y defensa en profundidad; etcétera. Los datos se correlacionan y se analizan a partir de la actividad pasada y actual.

Dicho análisis toma en cuenta —entre otras cosas— tipos de transacciones, recursos usados, duración de la sesión, conectividad y comportamiento típico de grupos de pares. El UBA determina qué es un comportamiento normal y qué constituye una actividad atípica o anómala.

Además:Radares inteligentes monitorean aviones en Costa Rica

Si el comportamiento anómalo de una persona (por ejemplo, consultas a la base de datos hechas a la medianoche) se comparte con otros en su grupo de pares, ya no se considera de riesgo alto o medio.

A continuación, se modela el riesgo. Un comportamiento anómalo no se considera automáticamente un riesgo. Primero se debe evaluar a la luz de su impacto potencial. Si las actividades aparentemente anómalas involucran recursos que no son sensibles, como información de reserva de la sala de conferencia, el impacto potencial es bajo.

Sin embargo, los intentos de acceder a archivos sensibles, como la propiedad intelectual, comporta un nivel más alto de impacto.

En consecuencia, el riesgo que plantea para el sistema una transacción particular se determina usando la fórmula: riesgo = probabilidad x impacto.

La probabilidad se refiere a la posibilidad de que el comportamiento en cuestión sea anómalo. Se determina a través de algoritmos de modelado de comportamiento.

El impacto, por otro lado, se basa en la clasificación y la criticidad de la información a la que se accedió y en qué controles se le habían impuesto.

Las transacciones y sus riesgos computados se pueden asociar luego con el usuario que las está haciendo, para determinar el nivel de riesgo. El cálculo del riesgo del usuario, generalmente, incluye factores adicionales, como clasificación del activo, permisos, vulnerabilidad potencial, políticas, etcétera.

Cualquier aumento en estos factores incrementará el puntaje de riesgo para ese usuario.

En estos cálculos, para afinar automáticamente el modelo general, se pueden usar valores de ponderación personalizados para todos los factores.

Finalmente, el UBA compila, correlaciona y analiza cientos de atributos, incluyendo datos situacionales e información de amenazas de terceros. El resultado es un conjunto de datos rico, consciente del contexto y a escala de petabytes.

Los algoritmos de aprendizaje automático no solo pueden detectar y eliminar los falsos positivos y brindar inteligencia de riesgo accionable, sino que también revisan normas, predicciones y los procesos generales de puntaje de riesgo a partir de la información recolectada.

Las modificaciones en la clasificación de la información y los cambios operativos (como nuevos departamentos, códigos de empleos o lugares) se incorporan automáticamente en los conjuntos de datos del sistema. Por ejemplo, si a un administrador de TI se le da temporalmente un nivel más alto de acceso al sistema, su puntaje de riesgo se altera durante ese período.

El UBA también puede determinar automáticamente qué valores de ponderación tienen la mayor significancia operativa en la reducción de falsos positivos.

También: Anonymous aumenta sus filas de ataque en #OpParís

Se puede explorar la información resultante off line para ganar conocimiento sobre la postura de seguridad de la empresa, algo que suele revelar vulnerabilidades insospechadas como la existencia de más grupos de usuarios que de usuarios, la presencia de credenciales no usadas o que hay usuarios con muchos más o muchos menos privilegios de acceso de los que deberían tener.

Conductas maliciosas menos obvias —por ejemplo, sabotaje, robo de secretos comerciales o actividades más duraderas como el fraude financiero— también producirán patrones de comportamiento anómalo que un sistema de UBA puede detectar.

Finalmente, si se encuentra que un usuario implica un riesgo significativo, el sistema puede actuar en consecuencia: desde bloquear el acceso futuro hasta imponer una autenticación adaptativa basada en el riesgo que le exigirá una segunda forma de identificación. También puede restringirse sus actividades luego del inicio de sesión.

El UBA está transformando la gestión del fraude y la seguridad porque les permite a las empresas detectar cuándo cuenta o identidades de usuarios legítimos se vieron comprometidas por atacantes externos o están siendo usadas internamente con fines maliciosos.

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR