El uso de algoritmos para detectar amenazas potenciales se convertirá en un método de seguridad más común en el próximo año.
Video: La analítica predictiva puede detener el cibercrimen antes de que ocurra… El precrimen suena a ciencia ficción, pero al aplicar la inteligencia artificial a los grandes análisis de datos, la empresa de ciberseguridad Forcepoint es capaz de anticiparse a los hacks y ataques.
El análisis del comportamiento de usuarios y entidades (UEBA), que según las proyecciones de Investigación y Mercados crecerá hasta convertirse en una industria de más de 900 millones de euros en 2021, se utiliza para identificar las amenazas a la ciberseguridad. Funciona utilizando algoritmos avanzados (a menudo combinados con sistemas de almacenamiento a gran escala con fines de almacenamiento de datos) para establecer una línea de base de ciertas actividades que los usuarios o los sistemas llevan a cabo de forma rutinaria. Puede entonces identificar y alertar sobre anomalías de comportamiento que significan una desviación de estas líneas de base. Tales desviaciones pueden representar una actividad maliciosa, ya sea un intento de intrusión intencional o el resultado de una amenaza de malware.
La historia de la UEBA
UEBA fue desarrollado por primera vez por compañías como Netflix y Amazon para sugerir productos basados en los intereses de los usuarios y en las compras y comportamientos anteriores.
Tras la violación de los datos de Target a finales de 2013, se hizo patente la utilidad de la UEBA como herramienta de ciberseguridad. El objetivo era registrar datos relacionados con la actividad ilegal, pero la intrusión no se detectó a tiempo porque los datos no se utilizaban con fines de alerta. Esto llevó al uso de UEBA para analizar y extraer valor de los datos de comportamiento que se generaban. Sin embargo, los algoritmos rutinarios de aprendizaje de máquinas»off the shelf» no pudieron procesar con éxito esta información y resultaron en una cantidad inmanejable de falsos positivos, lo que hizo que los equipos de seguridad perdieran el tiempo persiguiendo incendios inexistentes.
VER: Política de detección de intrusos (Tech Pro Research)
Cómo se está utilizando la UEBA en la actualidad
Mediante el aprendizaje automático y los algoritmos patentados, UEBA puede detectar comportamientos inusuales, comparar el comportamiento con los compañeros del usuario y la unidad de negocio en general, determinar la presencia de vulnerabilidades asociadas e identificar el valor del activo que está siendo atacado.
Además, UEBA puede contratar a los propietarios de aplicaciones responsables del activo atacado y pedirles que califiquen si el comportamiento está justificado o no por el negocio. Basándose en las respuestas, la UEBA puede entregar una lista priorizada de amenazas a los investigadores que necesitan mitigación inmediata.
La UEBA continúa evolucionando y se vuelve más inteligente a medida que aprende qué comportamientos inusuales son realmente críticos. Utilizando el aprendizaje automático, las herramientas de UEBA se adaptan para que los comportamientos inusuales que están realmente justificados por el negocio no se vuelvan a marcar, lo que reduce significativamente los falsos positivos y el ruido. Por otro lado, si la herramienta de la UEBA prioriza una amenaza que necesita investigación inmediata, la herramienta sabe que debe buscar otras amenazas que tengan las mismas características.
VER: Informe especial de ZDNet/ConsejoTecnologico.com: Cómo implementar la IA y el aprendizaje automático (PDF gratuito)
Lo que le espera a la UEBA en 2019
Las capacidades de UEBA descritas anteriormente todavía no se utilizan ampliamente, pero se espera que aumenten en popularidad y uso a medida que nos adentramos en 2019.
Ryan Stolte, CTO y cofundador de la firma de análisis de riesgo Bay Dynamics, dijo que 2019 será un año transformador para la UEBA. Estas son algunas de las tendencias que dijo que podemos esperar ver:
Mayor integración con las herramientas de seguridad tradicionales
Esto proporcionará una mejor capacidad para detectar y priorizar las amenazas. Por ejemplo, la UEBA se está integrando con tecnologías de prevención de pérdida de datos (DLP) para reducir las innumerables alertas de DLP y generar una lista de trabajo de calidad de las principales amenazas que necesitan investigación inmediata.
Integración con agentes de seguridad de acceso a la nube
En el caso de la DLP, uno de los mayores desafíos de los analistas es que reciben tantas alertas cada día y tienen recursos limitados para investigarlas. Tratan de pasar por cada uno de ellos, pero a menudo terminan perdiendo el tiempo con falsos positivos o amenazas menos impactantes, mientras que los verdaderamente críticos se escabullen. Al integrarse con la UEBA, los analistas reciben una lista específica de los temas en los que deben centrarse cada día.
Integración con herramientas de autenticación de usuarios
Esto ayudará a las empresas a comprender cuánta autenticación requiere un usuario para acceder a activos sensibles en función de su perfil de comportamiento. Por ejemplo, si un usuario intenta acceder a una base de datos sensible, pero las herramientas de UEBA le han detectado previamente que tiene el hábito de hacer clic con frecuencia en enlaces sospechosos y enviar datos corporativos privados a su dirección de correo electrónico privada, la empresa sabe que puede añadir capas adicionales de autenticación y puede limitar aún más el acceso a datos altamente clasificados, o tomar medidas disciplinarias según sea necesario. Mejora de la capacidad de aprendizaje de la máquina
Los aspectos de aprendizaje de máquina de la tecnología UEBA también se perfeccionarán a medida que mejore el rendimiento. Pronto la tecnología funcionará tan rápidamente que podrá fácilmente juzgar un evento basado en evidencia histórica, eliminar falsos positivos y luego pasar los eventos más críticos a los investigadores en cuestión de minutos. El objetivo es proporcionar a los investigadores suficiente información para que puedan responder de forma significativa a la información de la UEBA desde una perspectiva en tiempo real.
En un caso, la UEBA podría ser capaz de detectar a los empleados que envían datos de propiedad intelectual valiosos a sus cuentas de correo electrónico personales con el fin de iniciar un negocio competidor. En otro, un intruso que utiliza credenciales robadas puede ser identificado a través de características de comportamiento diferentes a las del empleado real, tales como iniciar sesión en una base de datos clasificada a la que no se accede normalmente.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Ver también: