Detección de amenazas basada en el comportamiento
El grado de sofisticación de los ciberataques se va incrementando conforme los actores maliciosos tienen acceso a tecnología más avanzada. Por este motivo, los equipos que se dedican a la ciberseguridad defensiva, como los Centros de Operaciones de Seguridad (SOC), tiene que dotarse de herramientas capaces de detectar estas nuevas amenazas. Así, últimamente, estamos viendo como las soluciones SIEM están incorporando tecnología y capacidades avanzadas para abordar este reto. Esto ha permitido crear una categoría de sistemas SIEM denominada de próxima generación que se diferencian del resto por incluir el análisis del comportamiento, tanto del usuario (UBA) como del atacante (ABA). ¿Qué es UBA y ABA? En ciberseguridad existen variedad de métodos para detectar comportamientos anómalos. En este artículo explicaremos brevemente dos tipos de reglas que basan la detección de amenazas en el comportamiento. La primera es UBA, User Behavior Analytics, que aplica análisis avanzado para detectar anomalías en la actividad de los usuarios dentro de la red. Y la segunda es ABA, Attacker Behavior Analytics, la cual combina el análisis avanzado y las reglas creadas específicamente para cada tipo de ataque. ¿Cómo funciona UBA? En el caso de UBA se crea un modelo estudiando a los usuarios de la red durante un periodo de tiempo conocido como “baseline” o periodo de aprendizaje. Durante este tiempo se recolecta todo tipo de información que pueda ser de utilidad para aprender el comportamiento del usuario. Por ejemplo, imaginemos que vamos a monitorizar el uso de VPN de un usuario de la red. La información que se recoge durante el periodo de “baseline” es: tiempos de conexión VPN, IPs origen, país origen… Una vez finalizado el periodo de “baseline” y se tengan suficientes datos se realiza un modelado para identificar el uso de la VPN del usuario. Ahora UBA puede identificar la actividad anómala del usuario. Por ejemplo, que se conecte desde un país por primera vez, desde una IP nueva, que la conexión dure más tiempo, etc. Cuando UBA detecta un comportamiento anómalo genera una alerta que notifica al equipo de seguridad. ¿En qué casos se utiliza? Los principales casos de uso de UBA son: Detección de amenazas internas. El usuario dentro de la red se convierte en atacante y roba información, realiza cambios deshonestos, sabotajes, etc. Detección de cuentas comprometidas. Si una cuenta de usuario se ve comprometida UBA puede detectar esa intrusión. Detección de ataques de fuerza bruta. UBA puede detectar intentos fallidos a usuarios o máquinas para que así puedas defenderte contra estos ataques. Detección del uso de usuarios privilegiados (superusuarios). Se puede detectar cuando se crean usuarios administradores o con determinados privilegios dentro de la red. Además del uso y comportamiento de estos usuarios. s Detección de violación de datos protegidos. Lleva un control de acceso a los datos protegidos para conocer en todo momento quien, cuando y que documento reviso. ¿Cómo funciona ABA? El segundo método de análisis del comportamiento está enfocado en la detección de acciones comunes que realizan los atacantes. Entre éstas estarían el escaneo de puertos, la ejecución de malware y el movimiento lateral. Estas acciones se detectan siguiendo unas reglas predefinidas que se actualizan periódicamente para identificar nuevos ataques. Un ejemplo de este tipo de reglas sería la que contendría dominios y direcciones IP relacionadas con una campaña de malware. ¿Cuál es la diferencia entren UBA y ABA? Las diferencias principales entre estos dos modelos de detección de amenazas basados en el comportamiento son: UBA basa centra el análisis en los usuarios legítimos de la red, mientras que ABA analiza el comportamiento de los atacantes potenciales o reales. Mientras que UBA necesita un periodo de aprendizaje, ABA utiliza un juego de reglas predefinido con cada tipo de ataque. En la misma línea, UBA no necesita actualizarse ya que la detección se basa en el aprendizaje de los usuarios, en cambio ABA necesita actualización para incorporar nuevas reglas con el objetivo de detectar nuevos ataques. UEBA: un paso más allá de UBA para la detección de amenazas User and Entity Behavior Analytics (UEBA) es otro método de detección de comportamientos anómalos que toma como referencia UBA y lo mejora añadiendo entidades y eventos. En algunos casos, no es conveniente analizar las cuentas de los usuarios individuales para identificar acciones anormales. Por ejemplo, los atacantes que han accedido al equipo de una víctima pueden usar varias cuentas para realizar su post-explotación, como, por ejemplo, moverse a otras máquinas. Es en estas situaciones cuando UEBA ofrece un gran potencial, ya que añade al análisis entidades como los equipos de usuario e incluso las direcciones IP de éstos. En conclusión, el uso de estas tecnologías resulta fundamental para la detección de amenazas avanzadas. El Centro de Operaciones de Seguridad (SOC) de Global Technology realiza un seguimiento continuo de la actividad de los usuarios mediante herramientas que incorporan este tipo de tecnologías para identificar comportamientos anómalos y evitar la materialización de ciberincidentes. Rubén Ascarza PeñasTécnico de Ciberseguridad globalt4e.com