El análisis de comportamiento del usuario ( UBA ), según lo define Gartner, es un proceso de ciberseguridad sobre la detección de amenazas internas , ataques dirigidos y fraude financiero . Las soluciones UBA analizan los patrones de comportamiento humano y luego aplican algoritmos y análisis estadísticos para detectar anomalías significativas de esos patrones, anomalías que indican amenazas potenciales. [1] En lugar de rastrear dispositivos o eventos de seguridad, UBA rastrea a los usuarios de un sistema. [2] Las plataformas de big data como Apache Hadoop están aumentando la funcionalidad de UBA al permitirles analizar petabytes.valor de los datos para detectar amenazas internas y amenazas persistentes avanzadas . [3] [4]
Propósito
El problema al que responde UBA, como lo describe la directora ejecutiva de Nemertes Research , Johna Till Johnson, es que "los sistemas de seguridad proporcionan tanta información que es difícil descubrir información que realmente indique un potencial de ataque real. Las herramientas de análisis ayudan a dar sentido a la gran cantidad de datos que recopilan SIEM , IDS / IPS, registros del sistema y otras herramientas. Las herramientas de UBA utilizan un tipo especializado de análisis de seguridad que se centra en el comportamiento de los sistemas y las personas que los utilizan. La tecnología de UBA evolucionó por primera vez en el campo del marketing para ayudar las empresas comprenden y predicen los patrones de compra de los consumidores . Pero resulta que la UBA también puede ser extraordinariamente útil en el contexto de la seguridad ". [5]
Evolución del mercado
Los desarrollos en la tecnología UBA llevaron a Gartner a evolucionar la categoría a análisis de comportamiento de usuarios y entidades (" UEBA "). En septiembre de 2015, Gartner publicó la Market Guide for User and Entity Analytics del vicepresidente y analista distinguido, Avivah Litan, que proporciona una definición y una explicación detalladas. UEBA se mencionó en informes anteriores de Gartner, pero no con mucha profundidad. La ampliación de la definición de UBA incluye dispositivos, aplicaciones, servidores , datos o cualquier cosa con una dirección IP . Va más allá del enfoque UBA orientado al fraude a uno más amplio que abarca "comportamiento malicioso y abusivo que de otra manera pasaba desapercibido para los sistemas de monitoreo de seguridad existentes, como SIEM y DLP". [6] La adición de "entidad" refleja que los dispositivos pueden desempeñar un papel en un ataque a la red y también pueden ser valiosos para descubrir la actividad del ataque. "Cuando los usuarios finales se han visto comprometidos, el malware puede permanecer inactivo y pasar desapercibido durante meses. En lugar de intentar encontrar dónde entró el forastero, los UEBA permiten una detección más rápida mediante el uso de algoritmos para detectar amenazas internas". [7]
Particularmente en el mercado de la seguridad informática , existen muchos proveedores de aplicaciones UEBA. Pueden "diferenciarse por si están diseñados para monitorear aplicaciones de software como servicio (SaaS) locales o basadas en la nube ; los métodos en los que obtienen los datos de origen; el tipo de análisis que utilizan (es decir, análisis empaquetados, impulsado por el usuario o escrito por el proveedor) y el método de prestación de servicios (es decir, en las instalaciones o basado en la nube) ". [8] Según la guía de mercado de 2015 publicada por Gartner, "el mercado de UEBA creció sustancialmente en 2015; los proveedores de UEBA aumentaron su base de clientes, comenzó la consolidación del mercado y aumentó el interés de los clientes de Gartner en UEBA y análisis de seguridad". [9] El informe proyectó además: "Durante los próximos tres años, las plataformas UEBA líderes se convertirán en sistemas preferidos para las operaciones de seguridad e investigaciones en algunas de las organizaciones a las que sirven. Será, y en algunos casos ya lo es, mucho más fácil de descubrir. algunos eventos de seguridad y analizan a delincuentes individuales en UEBA que en muchos sistemas de monitoreo de seguridad heredados ". [9]
Ver también
Referencias
- ^ Guía de mercado para análisis del comportamiento del usuario
- ^ La búsqueda de análisis de datos: ¿Está su SIEM en la lista de personas en peligro de extinción?
- ^ Ahlm, Eric; Litan, Avivah (26 de abril de 2016). "Tendencias del mercado: análisis de comportamiento de usuarios y entidades amplían su alcance en el mercado" . Gartner . Consultado el 15 de julio de 2016 .
- ^ "Ciberseguridad a escala de petabytes" . Consultado el 15 de julio de 2016 .
- ^ Las herramientas de análisis del comportamiento del usuario pueden frustrar los ataques de seguridad.
- ^ "Market Guide for User and Entity Behavior Analytics" . www.gartner.com . Consultado el 10 de noviembre de 2016 .
- ^ Zurkus, Kacy (27 de octubre de 2015). "Análisis del comportamiento de la entidad de usuario, siguiente paso en la visibilidad de la seguridad" . CSO Online . Consultado el 6 de junio de 2016 .
- ^ "Detecte las infracciones de seguridad a tiempo analizando el comportamiento, de forma más inteligente con Gartner" . Más inteligente con Gartner . 2015-06-04 . Consultado el 6 de junio de 2016 .
- ^ a b "Market Guide for User and Entity Behavior Analytics" . Gartner, Inc. 22 de septiembre de 2015 . Consultado el 6 de junio de 2016 .
enlaces externos
- ABC de la UBA