Cuando todo comportamiento es anormal, ¿cómo detectamos …


Identificar líneas de base de comportamiento usual es esencial para la autenticación basada en el comportamiento. Sin embargo, con COVID-19 volcando todos los aspectos de la vida, ¿es posible construir líneas de base y medir patrones normales cuando nada parece usual?

Iniciamos sesión en el trabajo por la mañana, generalmente entre las 09:00 y las 09:15. Iniciamos sesión en el correo, el sistema de colaboración y luego las aplicaciones comerciales. El lugar desde el que iniciamos sesión, el momento en que comenzamos a trabajar y la secuencia de inicios de sesión forman un patrón único. Y patrones únicos pueden ser útiles como factores de autenticación. Sin embargo, en este momento hay un posible problema: ¿cómo establecer comportamientos «normales» en un tiempo completamente anormal?

(imagen de andigreyscale, a través de Adobe Stock)

(imagen de andigreyscale, a través de Adobe Stock)

Los problemas relacionados con la autenticación basada en el comportamiento reflejan los problemas de comportamiento de TI más grandes del momento. Daniel Norman, analista de investigación en el Foro de Seguridad de la Información, dice: «En tiempos de crisis, el comportamiento puede verse abrumado por el estrés y especialmente por la interrupción de las rutinas diarias. El bloqueo de COVID-19 ha demostrado el requisito de que las organizaciones manejen el comportamiento de manera efectiva, o enfrentan la interrupción de una creciente gama de amenazas a la seguridad, tanto externas como internas del negocio «.

Definiendo una usual útil

Robert Capps, vicepresidente de NuData Protection, una compañía de Mastercard, dice que la evaluación comparativa y el uso del comportamiento pueden comenzar por comprender qué comportamientos siguen siendo indicadores útiles de la identidad de un usuario. «Los usuarios que se refugian en el lugar tendrán algunas o todas las mismas características presentes en sus interacciones, como lo hicieron antes de COVID», explica Capps. «Continuarán usando la conexión a Internet de su hogar, sus dispositivos existentes, y usarán esos dispositivos de la misma manera que antes». Señala que los hábitos y patrones en realidad pueden disminuir la «fricción» en la experiencia informática de un usuario, permitiéndole abrir y usar algunas aplicaciones sin detenerse a pensar profundamente sobre la experiencia del usuario. Esa misma naturaleza «automática» de las acciones es lo que las hace útiles desde una perspectiva de autenticación.

Afortunadamente, si bien el entorno empresarial common se encuentra en un punto muy inusual, los expertos dicen que el comportamiento del usuario de la computadora no es tan anómalo como podría parecer, y podría ser más consistente que antes de la pandemia. «Me imagino que hoy el comportamiento de las personas es menos anómalo de lo recurring. En un día standard, las personas inician sesión o visitan sitios de redes en el trabajo, en el tren, en el Starbucks, en el aeropuerto y también en el hogar. Hoy, solo iniciar sesión desde casa «, dice Jason Kent, hacker que reside en Cequence Protection.

«La mayoría de las organizaciones ya entienden que su infraestructura está destinada al trabajador remoto, ahora hay más trabajadores remotos», explica. Kent dice que las organizaciones siempre deben usar muchos puntos de datos diferentes para determinar el comportamiento. Algunos factores siempre serán más importantes que otros, y es la combinación de factores que deben considerarse para determinar el riesgo.

Shahrokh Shahidzadeh, CEO de Acceptto, dice que mirar más allá del inicio de sesión es basic. «Hay comportamientos normales donde algunos usuarios usan VPN pero eso no es importante. Además del inicio de sesión VPN, hay otros factores en juego, como los patrones obtenidos a través del análisis del comportamiento de aplicación», dice, y agrega: «¿Qué? lo que nos interesa es lo que sucede a lo largo del ciclo de vida de la sesión «.

El uso de comportamientos en toda la interacción del usuario proporciona un valioso contexto valioso para los comportamientos que vemos. «La clave para la detección efectiva basada en el comportamiento es el contexto para que los algoritmos aprendan. Cuando los algoritmos basados ​​en el comportamiento, específicamente para la autenticación, pueden captar la imagen completa, pueden adaptarse rápidamente a las nuevas condiciones», dice Wade Woolwine, investigador principal de seguridad en Speedy7.

«La imagen completa significa que podemos ver las autenticaciones del sistema nearby contra el dominio, podemos ver las autenticaciones de VPN, la autenticación y autorización de recursos internos y la autenticación de servicios externos», explica Woolwine. «Con ese nivel de visibilidad, las detecciones basadas en el comportamiento rápidamente descubren que la IP extraña que se autentica en el servicio externo es en realidad la misma IP que se autenticó con éxito en la VPN hace solo un minuto».

(siguiente: página 2 de 2, «complejidad necesaria»)

Curtis Franklin Jr. es editor sénior en Darkish Studying. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y online video para Darkish Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Anterior

1 de 2

próximo

Más thoughts





Enlace a la noticia original