En la carrera por la ciberseguridad no hay descanso. Los ciberatacantes y los CISO de empresas y organizaciones pugnan por liderarla y por eso, no hay un solo minuto que perder porque cualquier flanco será aprovechado al instante. Dado que en este contexto nunca hay treguas, es fundamental que las organizaciones mantengan una estrategia proactiva frente a las amenazas, descartando estrategias y soluciones reactivas que hoy en día son obsoletas. En ese sentido, tener la iniciativa puede ahorrar mucho tiempo y recursos dedicados a posteriori para recuperarse de un ciberataque. La detección UEBA precisamente parte de ahí: se trata de unos procesos proactivos y que otorgan la iniciativa a la organización, ya que se centran en el análisis de los comportamientos de los usuarios y sus equipos.

El término lo acuñó y concibió la consultora Gartner, y responde a “User and Entity Behavior Analysis” (“análisis del comportamiento del usuario y los equipos”). UEBA se basa en un principio fácil de entender: los sistemas de defensa de empresas y organizaciones están preparados para detectar y repeler un ciberataque, pero ¿qué sucede cuando este no es detectado? Una vez que el programa malicioso circula por una organización, puede permanecer latente durante meses hasta que finalmente es detectado y erradicado del sistema.

UEBA también surgió como respuesta ante una necesidad: las soluciones de ciberseguridad más tradicionales basadas en registros y SIEM pueden generar un gran volumen de alertas de incidentes, pero no logran establecer relaciones con todos los eventos ni “aprenden” a priorizar las amenazas a partir de los patrones. Eso provoca que los profesionales de cibereguridad tengan que dedicar excesivos recursos manuales para investigarlos y remediarlos.

Algoritmos al servicio del análisis del comportamiento_

En esa situación, pueden tener lugar dos hechos graves: el primero de ellos, el malware puede actuar durante demasiado tiempo sin ser detectado en la organización, y en segundo lugar, el esfuerzo a realizar para su remediación de los incidentes que haya podido generar puede ser muy grande. Esta segunda situación puede llevar a una temida fatiga de alerta en los responsables de ciberseguridad, motivada por la elevada presión, que también podría repercutir en su desempeño ante otras amenazas. Para mitigar y evitar esta fatiga juega un papel clave el concepto de los Servicios Gestionados de Detección y Respuesta ante los ciberataques (MDR):

Bajo este término, se esconden una serie de tecnologías que liberan la carga de trabajo de los CISO y permite que estos centren su desempeño en labores proactivas en vez de actuar reactivamente. Y es precisamente en el MDR donde se ubica la detección UEBA, permitiendo hacer frente a la sobrecarga de datos que proporcionan los sistemas de seguridad y detectando en ellos las amenazas que son reales. A diferencia de las tecnologías de ciberseguridad convencionales, centradas en el análisis de los equipos, UEBA pone su atención en el comportamiento interno de los trabajadores en relación con los equipos. Por eso, tiene una especial importancia frente a amenazas de insiders.

Detección integrada_

Los principios de la detección UEBA originalmente no nacieron en el ámbito de la ciberseguridad, sino que provienen del marketing, donde era empleada para analizar el comportamiento de los compradores; el big data siempre ofrece una fotografía más amplia y con ella es más sencillo identificar patrones. Trasladando este planteamiento al ámbito de la ciberseguridad, UEBA hace exactamente eso: analiza los comportamientos de los empleados de la organización en relación a los equipos y cuando detecta que algo se sale de los patrones establecida, saltan las alarmas.

Este potencial ha logrado que los sistemas de detección UEBA se vayan incorporando de forma creciente en soluciones de ciberseguridad, y Cytomic la integra en los servicios MDR que ofrece. La aproximación con una visión interna y empleando algoritmos junto con análisis estadístico del comportamiento humano logra la detección de multitud de elementos maliciosos que antes podrían pasar desapercibidos. Pero como beneficio añadido en materia de ciberseguridad, también consigue evitar la potencial fatiga en los CISO y con ella un peor control de las amenazas.