Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > UEBA 🟢 Protección

UEBA 🟢 Protección

UEBA (Análisis del comportamiento de usuarios y entidades) es una categoría avanzada de soluciones de ciberseguridad que utilizainteligencia artificial y elaprendizaje automático detectar comportamientos anómalos y potencialmente malintencionados de usuarios y entidades dentro de una red informática.

En pocas palabras, UEBA no se limita a buscar firmas de ataques conocidos (como hacen los antivirus tradicionales) o a comprobar reglas predefinidas (como hacen los antivirus tradicionales). cortafuegos). LA UEBA aprender lo que es "normal para cada usuario y cada entidad (máquinas, aplicaciones, servidores, etc.) y le avisa cuando el comportamiento se desvía de esta norma.

Características

UEBA es un enfoque proactivo de ciberseguridad que :

  • Establece líneas de base de comportamiento normal : Mediante el análisis continuo de los datos de actividad (registros, flujos de red, etc.), UEBA crea un perfil de comportamiento "típico" para cada usuario y entidad. Este perfil incluye diversos aspectos, como los tiempos de conexión, las aplicaciones utilizadas, los datos consultados, los lugares de conexión, etc.
  • Detecta anomalías de comportamiento: la UEBA supervisa la actividad en tiempo real y compara cada acción con el comportamiento normal establecido. Cualquier desviación significativa de esta línea de base se considera una anomalía y se сигналиé para su investigación.
  • Proporciona una puntuación de riesgo contextual : UEBA no se limita a detectar anomalías en bruto. Contextualiza cada alerta teniendo en cuenta múltiples factores: la gravedad de la anomalía, el historial del usuario/entidad, el tipo de recurso afectado, etc. A continuación, asigna una puntuación de riesgo, lo que permite a los equipos de seguridad dar prioridad a las alertas más críticas. A continuación, asigna una puntuación de riesgo, lo que permite a los equipos de seguridad dar prioridad a las alertas más críticas.
  • Se adapta y aprende continuamente: Gracias al aprendizaje automático, UEBA perfecciona constantemente sus líneas de base de comportamiento normal a medida que evolucionan los hábitos de los usuarios y las entidades. Esto la hace más precisa y reduce falsos positivos a lo largo del tiempo.

 

Ejemplos de aplicaciones de la UEBA

Imagina los siguientes escenarios y cómo los detecta UEBA:

  1. Cuenta de usuario comprometida :
    • Comportamiento normal : El empleado "John Smith" suele conectarse desde su oficina en París entre las 9 de la mañana y las 6 de la tarde, accede a documentos de marketing y utiliza aplicaciones de CRM y correo electrónico.
    • Comportamiento anormal detectado por UEBA: De repente, "Jean Dupont" se conectó desde China a las 3 de la madrugada, intentó acceder a archivos confidenciales de I+D y descargó una cantidad ingente de datos.
    • Alerta UEBA: UEBA сигналиe una fuerte anomalía de comportamiento para la cuenta "John Smith" con una puntuación de alto riesgo, сигналиant un posible compromiso de la cuenta y el intento de exfiltración de datos.
  2. Amenaza interna malicioso :
    • Comportamiento normal : un administrador de sistemas realiza tareas de mantenimiento en los servidores, configura las cuentas de usuario y supervisa los registros del sistema.
    • Comportamiento anormal detectado por UEBA: el administrador empieza a crear cuentas de usuario con privilegios excesivos, desactiva los registros de auditoría y accede a las bases de datos. datos sensibles sin razón aparente.
    • Alerta UEBA: la UEBA detecta un cambio significativo en el comportamiento del administrador del sistema, que indica una posible actividad maliciosa interna, como la preparación de un futuro ataque o la exfiltración de datos para uso personal.
  3. Ataque a un servidor web :
    • Comportamiento normal : un servidor web responde a peticiones HTTP estándar, aloja páginas web públicas e interactúa con una base de datos para mostrar contenidos dinámicos.
    • Comportamiento anormal detectado por UEBA: el servidor web comienza a iniciar conexiones salientes a direcciones IP sospechosas, a ejecutar procesos inusuales y a consumir cantidades anormales de memoria y CPU.
    • Alerta UEBA: la UEBA detecta un comportamiento anormal en el servidor web, un posible compromiso y el uso del servidor como punto de partida para ataques a otros sistemas (ataque de rebote).
  4. Aplicación comprometida :
    • Comportamiento normal : una aplicación empresarial utiliza consultas SQL estándar para interactuar con su base de datos, procesar transacciones y generar informes.
    • Comportamiento anormal detectado por UEBA: la aplicación comienza a generar consultas SQL anormalmente largas y complejas, intenta acceder a tablas de bases de datos a las que nunca antes había accedido e inicia conexiones de red a puertos no estándar.
    • Alerta UEBA: la UEBA detecta un comportamiento desviado de la aplicación, lo que sugiere una posible vulnerabilidad explotado (como Inyección SQL) o un compromiso de la propia aplicación.

Aplicaciones de la IA en la UEBA: el corazón de la detección inteligente

LaIA y más concretamente el aAprendizaje automático (Aprendizaje automático - ML) están en el corazón de las operaciones de UEBA. Estos son los principales usos de la IA en las soluciones de UEBA:

  • Aprendizaje no supervisado para la línea de base del comportamiento normal : Los algoritmos de ML no supervisados se utilizan para analizar grandes cantidades de datos de actividad e identificar automáticamente patrones típicos de comportamiento para cada usuario y entidad. Estos algoritmos pueden detectar correlaciones y tendencias complejas que serían imposibles de identificar manualmente. Ejemplos de algoritmos utilizados: clustering, análisis de componentes principales (PCA), algoritmos de detección de anomalías basados en la densidad (DBSCAN, Isolation Forest).
  • Aprendizaje supervisado para la detección de anomalías y la clasificación de riesgos : Una vez establecidas las líneas de base, se pueden entrenar algoritmos ML supervisados para reconocer anomalías y clasificarlas según su nivel de riesgo. Estos algoritmos aprenden de los comentarios de los analistas de seguridad (alertas validadas como legítimas o falsos positivos) para mejorar su precisión con el tiempo. Ejemplos de algoritmos utilizados: árboles de decisión, bosques aleatorios, máquinas de vectores soporte (SVM), redes neuronales.
  • Análisis del lenguaje natural (PNL) para el análisis de registros y textos: Algunas soluciones UEBA utilizan PNL para analizar registros de texto, correos electrónicos u otros datos no estructurados. Así se extrae información contextual adicional y se mejora la detección de anomalías basadas en el contenido del lenguaje (por ejemplo, detección de comunicaciones sospechosas, spam, etc.). suplantación de identidad interno).
  • Respuesta e investigación automatizadas (SOAR - Orquestación, automatización y respuesta de seguridad) : La IA también puede utilizarse para automatizar determinadas acciones en respuesta a incidentes detectados por UEBA. Por ejemplo, una alerta de UEBA de alto riesgo puede activar automáticamente el aislamiento de una estación de trabajo comprometida o el restablecimiento de la contraseña de una cuenta de usuario. La IA también puede ayudar a automatizar la investigación de las alertas proporcionando un resumen de las anomalías detectadas, las entidades afectadas y las recomendaciones de actuación.

Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad