En seguridad no hay un comportamiento medio


Doron Hendler, director ejecutivo y cofundador de RevealSecurity, explica la forma correcta y la forma incorrecta de detectar comportamientos maliciosos.

Mujer sospechosa espiando al aire libre
Imagen: Nueva África/Adobe Inventory

Hace más de una década, el mercado de la seguridad adoptó el análisis estadístico para aumentar las soluciones basadas en reglas en un intento de proporcionar una detección más precisa para las capas de infraestructura y acceso. Sin embargo, Consumer and Entity Behavioral Analytics (UEBA) no cumplió lo prometido para aumentar drásticamente la precisión y reducir las alertas de falsos positivos debido a una suposición fundamentalmente errónea: que el comportamiento del usuario se puede caracterizar por cantidades estadísticas, como el número promedio diario de actividades.

VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)

Esta suposición errónea está integrada en UEBA, que caracteriza a un usuario por un promedio de actividades. En realidad, las personas no tienen «comportamientos promedio» y, por lo tanto, es inútil tratar de caracterizar el comportamiento humano con cantidades como el promedio, la desviación estándar o la mediana de una sola actividad.

Cómo UEBA se queda corto en la detección de comportamientos anormales

Como ejemplo de comportamiento fuera del promedio, conozca a David, un administrador de cuentas bancarias personales en un banco importante. Como parte de su actividad diaria typical, David cuenta con una variedad de diferentes perfiles profesionales de trabajo:

  1. Puede ser llamado por un cliente para realizar una transferencia bancaria en su nombre, ya sea externamente, entre sucursales o entre cuentas de una misma sucursal.
  2. En otras ocasiones, puede ayudar a un cliente con la compra y venta de varias acciones.
  3. Mensualmente, David generará un informe de estado de todos los clientes bajo su responsabilidad y se lo enviará por correo electrónico a su gerente.

Calcular un promedio de las actividades diarias en la jornada laboral de David no tendría sentido. En cambio, deberíamos centrarnos en aprender los múltiples perfiles de actividad típicos de David.

Además de la suposición fundamentalmente errónea de UEBA explicada anteriormente, UEBA también ha fallado en las aplicaciones comerciales debido a las grandes diferencias entre SaaS y las aplicaciones personalizadas. Por lo tanto, los modelos se han desarrollado solo para un conjunto limitado de escenarios de capa de aplicación, como en el sector financiero. Como resultado, las reglas personalizadas escritas para una aplicación específica continúan siendo la solución de detección más común para las aplicaciones.

Cómo detectar comportamientos maliciosos

Mientras que Consumer Conduct Analytics se trata de una línea de foundation única para cada actividad y un análisis de cada actividad por sí mismo, Person Journey Analytics analiza secuencias de actividades y aprende para cada usuario el conjunto completo de recorridos de usuario típicos en una aplicación. El futuro está en la implementación de la detección basada en secuencias en la capa de la aplicación, lo que permite una detección más precisa al realizar un análisis del viaje del usuario de una secuencia de actividades en SaaS y aplicaciones personalizadas.

La diferencia actual entre los usuarios no son las acciones específicas que terminamos haciendo, sino los viajes que hacemos a medida que los hacemos. Es mucho más difícil para un suplantador imitar los perfiles normales de un usuario, y los internos que buscan hacer un mal uso o abusar de una aplicación eventualmente se desviarán de sus perfiles normales.

Como ejemplo, piense en un banco con muchas salas, incluida una cámara acorazada con artículos preciosos como dinero en efectivo, oro y joyas. El banco, por supuesto, tiene una entrada principal, y la bóveda también tiene su propia puerta, por la que la gente pasa para depositar o retirar sus preciados bienes.

La gente pasa por la puerta principal, entrando y saliendo del banco. Pueden entrar y salir de la bóveda y realizar diversas actividades en esa misma sala.

Nuestro objetivo es encontrar el mal uso y el robo en la bóveda. Sin embargo, solo monitorear la puerta y las acciones de la bóveda no brinda suficiente información para una detección precisa, ya que la mayoría de las personas involucradas están realizando acciones legítimas allí.

Analizar el camino que toman las personas desde el momento en que ingresan por la puerta principal del banco, a medida que pasan por los pasillos y las habitaciones, hacia, dentro y desde la bóveda, nos permite saber qué viajes son normales y esperados. Estos viajes normales proporcionan nuestra foundation para la detección.

Encontramos viajes maliciosos comparando el viaje de cada usuario con sus viajes normales aprendidos, porque es probable que los usuarios maliciosos utilicen un viaje diferente al typical. Tal vez su viaje en el banco es más largo porque no saben a dónde van, o tal vez simplemente entran y salen rápidamente lo más rápido posible para no levantar sospechas.

La detección precisa del comportamiento malicioso a través del análisis de los viajes de los usuarios se basa en la suposición subyacente de que una sesión anormal se caracteriza por un viaje que no es very similar a los viajes típicos del usuario en una aplicación. Por lo tanto, al aprender viajes típicos y crear perfiles de viaje normativos, podemos detectar con precisión viajes anormales, que están altamente correlacionados con actividades maliciosas.

Doron Hendler

Doron Hendler es cofundador y director ejecutivo de RevelarSeguridad. Doron es un ejecutivo experimentado en administración y ventas, con un historial comprobado de crecimiento de nuevas empresas de tecnología en etapa inicial. Ha mapeado entornos comerciales complejos en una amplia gama de mercados globales, tanto directamente como a través de socios. A lo largo de su carrera, Doron ha liderado equipos que venden productos, soluciones y proyectos de almacenamiento, ciberseguridad, DR/BC, energía verde/EV, nube y SaaS en empresas como Wonderful Methods (NASDAQ:Awesome) y Trivnet (adquirida por Gemalto, NASDAQ: GTO), Surf Interaction (adquirida por Lytx) y mPrest.



Enlace a la noticia authentic