En el campo de la seguridad de la información , el monitoreo de la actividad del usuario (UAM) es el monitoreo y registro de las acciones del usuario. UAM captura las acciones del usuario, incluido el uso de aplicaciones, ventanas abiertas, comandos del sistema ejecutados, casillas de verificación marcadas, texto ingresado / editado, URL visitadas y casi todos los demás eventos en pantalla para proteger los datos, asegurando que los empleados y contratistas permanezcan dentro de sus límites asignados. tareas y no suponen ningún riesgo para la organización.
El software de monitoreo de la actividad del usuario puede ofrecer una reproducción similar a un video de la actividad del usuario y procesar los videos en registros de actividad del usuario que mantienen registros paso a paso de las acciones del usuario que se pueden buscar y analizar para investigar cualquier actividad fuera del alcance. [1]
Asuntos
La necesidad de UAM aumentó debido al aumento de incidentes de seguridad que involucran directa o indirectamente las credenciales de los usuarios, exponiendo información de la empresa o archivos sensibles. En 2014, hubo 761 violaciones de datos en los Estados Unidos, lo que resultó en más de 83 millones de registros de clientes y empleados expuestos. [2] Con el 76% de estas infracciones como resultado de credenciales de usuario débiles o explotadas, la UAM se ha convertido en un componente importante de la infraestructura de TI . [3] Las principales poblaciones de usuarios con las que la UAM pretende mitigar riesgos son:
Contratistas
Los contratistas se utilizan en las organizaciones para completar las tareas operativas de tecnología de la información . Los proveedores remotos que tienen acceso a los datos de la empresa son riesgos. Incluso sin intención maliciosa, un usuario externo como un contratista es una responsabilidad de seguridad importante.
Usuarios
El 70% de los usuarios comerciales habituales admitió tener acceso a más datos de los necesarios. Las cuentas generalizadas brindan a los usuarios comerciales habituales acceso a datos clasificados de la empresa. [4] Esto hace que las amenazas internas sean una realidad para cualquier empresa que utilice cuentas generalizadas.
Usuarios de TI
Las cuentas de administrador están fuertemente monitoreadas debido a la naturaleza de alto perfil de su acceso. Sin embargo, las herramientas de registro actuales pueden generar "fatiga de registro" en estas cuentas de administrador. La fatiga de los registros es la sensación abrumadora de tratar de manejar una gran cantidad de registros en una cuenta como resultado de demasiadas acciones del usuario. Las acciones dañinas de los usuarios se pueden pasar por alto fácilmente con miles de acciones de los usuarios que se compilan todos los días.
Riesgo general
Según el Informe de incidentes de violación de datos de Verizon, "El primer paso para proteger sus datos es saber dónde están y quién tiene acceso a ellos". [2] En el entorno de TI actual, "existe una falta de supervisión y control sobre cómo y quién entre los empleados tiene acceso a información confidencial y sensible". [5] Esta aparente brecha es uno de los muchos factores que han dado lugar a una gran cantidad de problemas de seguridad para las empresas.
Componentes
La mayoría de las empresas que utilizan UAM suelen separar los aspectos necesarios de UAM en tres componentes principales.
Forense visual
Visual Forensics implica la creación de un resumen visual de la actividad del usuario potencialmente peligrosa. Cada acción del usuario se registra y se registra. Una vez que se completa la sesión de un usuario, la UAM ha creado tanto un registro escrito como un registro visual, ya sean capturas de pantalla o video de exactamente lo que ha hecho un usuario. Este registro escrito difiere del de un SIEM o herramienta de registro, porque captura datos a nivel de usuario, no a nivel de sistema, proporcionando registros en inglés sencillo en lugar de SysLogs (creados originalmente con fines de depuración). Estos registros textuales están emparejados con las capturas de pantalla o resúmenes de video correspondientes. Usando estos registros e imágenes correspondientes, el componente de análisis forense visual de la UAM permite a las organizaciones buscar acciones exactas del usuario en caso de un incidente de seguridad. En el caso de una amenaza a la seguridad, es decir, una violación de datos, Visual Forensics se utiliza para mostrar exactamente lo que hizo un usuario y todo lo que condujo al incidente. Visual Forensics también se puede utilizar para proporcionar pruebas a cualquier policía que investigue la intrusión.
Alerta de actividad del usuario
Las alertas de actividad del usuario tienen el propósito de notificar a quien opera la solución UAM sobre un percance o paso en falso relacionado con la información de la empresa. Las alertas en tiempo real permiten que el administrador de la consola sea notificado en el momento en que se produce un error o una intrusión. Las alertas se agregan para cada usuario para proporcionar un perfil de riesgo de usuario y una clasificación de amenazas. Las alertas se pueden personalizar en función de combinaciones de usuarios, acciones, hora, ubicación y método de acceso. Las alertas se pueden activar simplemente, como abrir una aplicación o ingresar una determinada palabra clave o dirección web. Las alertas también se pueden personalizar en función de las acciones del usuario dentro de una aplicación, como eliminar o crear un usuario y ejecutar comandos específicos.
Análisis del comportamiento del usuario
El análisis del comportamiento del usuario agrega una capa adicional de protección que ayudará a los profesionales de seguridad a vigilar el eslabón más débil de la cadena. Al monitorear el comportamiento del usuario, con la ayuda de un software dedicado que analiza exactamente lo que hace el usuario durante su sesión, los profesionales de seguridad pueden asignar un factor de riesgo a los usuarios y / o grupos específicos, y recibir una alerta inmediata con una advertencia de bandera roja cuando un alto El usuario de riesgo hace algo que puede interpretarse como una acción de alto riesgo, como exportar información confidencial del cliente, realizar consultas de bases de datos de gran tamaño que están fuera del alcance de su función, acceder a recursos a los que no debería acceder, etc.
Características
Captura de actividad
La UAM recopila datos del usuario registrando la actividad de cada usuario en aplicaciones, páginas web y sistemas internos y bases de datos. UAM abarca todos los niveles de acceso y estrategias de acceso (RDP, SSH, Telnet, ICA, inicio de sesión directo de consola, etc.). Algunas soluciones de UAM se combinan con entornos Citrix y VMware.
Registros de actividad del usuario
Las soluciones UAM transcriben todas las actividades documentadas en registros de actividad del usuario. Los registros de UAM coinciden con las reproducciones de video de acciones concurrentes. Algunos ejemplos de elementos registrados son nombres de aplicaciones ejecutadas, títulos de páginas abiertas, URL, texto (escrito, editado, copiado / pegado), comandos y scripts.
Reproducción similar a un video
UAM utiliza tecnología de grabación de pantalla que captura las acciones de los usuarios individuales. Cada reproducción similar a un video se guarda y se acompaña de un registro de actividad del usuario. Las reproducciones difieren de la reproducción de video tradicional al raspado de pantalla , que es la compilación de capturas de pantalla secuenciales en una reproducción similar a un video . Los registros de actividad del usuario combinados con la reproducción similar a un video proporcionan un resumen de búsqueda de todas las acciones del usuario. Esto permite a las empresas no solo leer, sino también ver exactamente lo que hizo un usuario en particular en los sistemas de la empresa.
Intimidad
Algunas empresas y empleados plantearon problemas con el aspecto de privacidad del usuario de UAM. [ cual? ] Creen que los empleados se resistirán a la idea de que se controlen sus acciones, incluso si se hace por motivos de seguridad. En realidad, la mayoría de las estrategias de la UAM abordan estas preocupaciones.
Si bien es posible monitorear cada acción del usuario, el propósito de los sistemas UAM no es fisgonear en el historial de navegación de los empleados . Las soluciones de UAM utilizan el registro de actividades basado en políticas, lo que permite al administrador de la consola programar exactamente lo que se supervisa y lo que no.
Auditoría y cumplimiento
Muchas regulaciones requieren un cierto nivel de UAM, mientras que otras solo requieren registros de actividad para fines de auditoría. UAM cumple con una variedad de requisitos de cumplimiento normativo ( HIPAA , ISO 27001, SOX, PCI, etc.). La UAM se implementa típicamente con el propósito de auditorías y cumplimiento, para servir como una forma para que las empresas hagan sus auditorías más fáciles y eficientes. Una solicitud de información de auditoría para obtener información sobre la actividad del usuario se puede cumplir con UAM. A diferencia de las herramientas normales de registro o SIEM, UAM puede ayudar a acelerar un proceso de auditoría mediante la creación de los controles necesarios para navegar en un entorno regulatorio cada vez más complejo. La capacidad de reproducir las acciones del usuario proporciona soporte para determinar el impacto en la información regulada durante la respuesta a incidentes de seguridad.
Dispositivo frente a software
UAM tiene dos modelos de implementación. Enfoques de monitoreo basados en dispositivos que utilizan hardware dedicado para realizar el monitoreo al observar el tráfico de la red. Enfoques de monitoreo basados en software que utilizan agentes de software instalados en los nodos a los que acceden los usuarios.
Más comúnmente, el software requiere la instalación de un agente en los sistemas (servidores, computadoras de escritorio, servidores VDI, servidores de terminales) en los que los usuarios desea monitorear. Estos agentes capturan la actividad del usuario y envían información a una consola central para su almacenamiento y análisis. Estas soluciones se pueden implementar rápidamente de manera escalonada al dirigirse primero a los usuarios y sistemas de alto riesgo con información confidencial, lo que permite que la organización se ponga en marcha rápidamente y se expanda a nuevas poblaciones de usuarios según lo requiera la empresa.
Referencias
- ^ "¿Qué es el software de supervisión de la actividad del usuario?" . ActivTrak . 17 de febrero de 2019 . Consultado el 5 de marzo de 2019 .
- ^ a b "Informes de filtración de datos" (PDF) . Centro de recursos de robo de identidad . 31 de diciembre de 2014 . Consultado el 19 de enero de 2015 .
- ^ "Informe de investigación de violación de datos de 2014" . Verizon . 14 de abril de 2014 . Consultado el 19 de enero de 2015 .
- ^ "Virtualización: Exponiendo la empresa intangible" . Asociados de gestión empresarial . 14 de agosto de 2014 . Consultado el 19 de enero de 2015 .
- ^ "Datos corporativos: ¿un activo protegido o una bomba de relojería?" (PDF) . Instituto Ponemon . Diciembre de 2014 . Consultado el 19 de enero de 2015 .