La Transformación Digital (DX) amplía la superficie de ataque y plantea tres importantes desafíos. El primero es la necesidad de extender la seguridad a todos los lugares y dispositivos donde las aplicaciones, los flujos de trabajo y los datos críticos necesitan viajar para proteger los activos digitales. Por otro lado, aunque este cambio se está produciendo a velocidades sin precedentes, el CEO y la junta directiva están impacientes con el tiempo que requiere aprovechar las oportunidades de negocio que brinda la DX, Y, por último, las iniciativas DX requieren seguridad de primera clase.
La DX no es negociable, tampoco la seguridad. Van unidos. El truco es habilitar las iniciativas empresariales de DX sin saturar los limitados recursos disponibles para el equipo de seguridad. Debido a que las violaciones de seguridad de alto perfil ocupan las planas de los diarios, esos recursos limitados tienden a estar enfocados a mantener a los malos fuera. Por ello, la primera tarea para la mayoría de las organizaciones es implementar y gestionar soluciones de seguridad en toda su superficie de ataque en expansión, incluyendo el IoT, las soluciones multi-nube y los despliegues SD-WAN.
A medida que se multiplican los usuarios y los dispositivos que acceden a los recursos, más riesgos se originan dentro de la red. El Informe sobre violaciones de datos de Verizon de 2018 ha documentado que un 30% de las violaciones sufridas por las organizaciones involucran a personal interno.
Parte de ese desafío tiene su origen en la confianza implícita que extendemos a los usuarios y dispositivos. Inevitablemente, las amenazas internas siempre involucran el abuso de esa confianza de alguna manera, ya sea intencional o no intencional. Pero tanto si la pérdida de datos o de recursos digitales es maliciosa como si se debe a una negligencia, los resultados son los mismos y hay que evitarlos. Comencemos por actualizar la máxima «confía, pero verifica», para que se lea: «Sólo confía cuando tengas que hacerlo, y luego, asegúrate de monitorizar, rastrear y verificar todo». Tal vez la frase sea menos elegante, pero es sin duda más inteligente.
Cuando el enemigo está dentro
Estar atento a las amenazas internas requiere invertir el pensamiento de seguridad. Comience con la suposición de que ya se ha producido una infracción. La implementación de elementos como una estrategia de seguridad de confianza cero, la segmentación basada en intenciones y el control exhaustivo del acceso a la red garantizan que cualquier violación que se produzca sea de alcance limitado. Pero el verdadero desafío consiste en descubrir cualquier ataque en sus etapas más tempranas, mucho antes de que pueda producirse cualquier compromiso perjudicial. Y eso requiere la implementación de Análisis de Comportamiento Basado en Usuarios y Entidades (UEBA).
Inicialmente, UBA (o Análisis del Comportamiento del Usuario) simplemente proporcionaba una visibilidad granular del comportamiento del usuario, ya sea dentro o fuera de la red corporativa para identificar comportamientos y actividades anómalas potencialmente maliciosas.
Al añadir también las Entidades a la solución, lo que la convierte en UEBA, se reconoció que una seguridad verdaderamente eficaz requiere que se observe y perfile una serie de entidades y que esos comportamientos deben correlacionarse con los del usuario. Este enfoque más holístico permite al equipo de seguridad acceder a información mucho más detallada, lo que les permite responder de forma más eficiente antes de que un riesgo pueda escalar hasta convertirse en un incidente o una infracción.
Cuando se eligen y despliegan correctamente, las soluciones de UEBA pueden cubrir una amplia gama de amenazas internas. En ellas se incluye la monitorización de endpoints, ya sea dentro o fuera de la red, que no sólo proporciona una visibilidad profunda de los dispositivos y del comportamiento de los usuarios, sino que también realiza un seguimiento del acceso a los recursos y del movimiento de los datos para identificar mejor los comportamientos anormales o maliciosos.
Por otro lado, también se producen intentos de exfiltración de datos, incluido el traslado de datos a servicios web y de nube o a medios de almacenamiento extraíbles, como unidades USB. A ello se suma la detección instantánea de infracciones de las políticas, incluida la gama completa de requisitos de cumplimiento normativo y la prevención de escalar, comprometer o hacerse cargo de cuentas utilizando técnicas tales como el relleno de credenciales.
Aprender en base a reglas y Machine Learning
Las soluciones UEBA más eficaces pueden identificar con precisión el comportamiento anómalo de los usuarios y dispositivos, las infracciones de las políticas, el acceso no autorizado a los datos, el movimiento y la extracción inadecuada de datos y las cuentas comprometidas. Para ello, aprovechan una combinación de dos componentes clave: un motor avanzado basado en reglas y un análisis de comportamiento mejorado por Machine Learning.
Los motores basados en reglas ayudan a simplificar la adhesión a las políticas y a reforzar los controles de seguridad al detectar inmediatamente las infracciones de las políticas, identificar comportamientos o actividades de riesgo que podrían dar lugar a una infracción de la normativa, y detectar y responder a las infracciones de la normativa que ponen en peligro la propiedad intelectual, la identificación personal (IIP) y otros recursos críticos. También pueden alertar sobre actividades de usuarios no conformes, como el acceso no autorizado a los datos, el uso compartido o la distribución de IIP, el uso de Shadow IT, la instalación de software no aprobado y sin licencia, y el acceso o el consumo de contenido inapropiado.
Al mismo tiempo, el motor de Machine Learning UEBA aprende automáticamente los comportamientos de los usuarios a través de grupos de pares, lo que le permite detectar anomalías de comportamiento. Como resultado, puede, por ejemplo, detectar rápidamente cuando un usuario no autorizado intenta acceder a una cuenta de usuario comprometida.
Aplicando UEBA a las estrategias existentes
Aunque las soluciones UEBA pueden funcionar como una solución independiente para proteger los endpoints, evitar la pérdida de datos o identificar comportamientos inusuales, funcionan mejor cuando se incorporan como parte de una estrategia de seguridad integrada. La vinculación de UEBA a las soluciones SIEM, por ejemplo, mejora la recopilación, el análisis y la respuesta a las amenazas que se originan dentro de la red. También se puede utilizar para mejorar aplicaciones de seguridad de endpoints más tradicionales, soportar la monitorización y gestión de Shadow IT, y se puede integrar de forma completa y sin fisuras en un marco más amplio de arquitectura de seguridad.
Uno de los resultados más comunes de una estrategia DX agresiva es la visibilidad fracturada y los controles inconsistentes de seguridad en todo el entorno de red distribuida, especialmente cuando se trata del comportamiento de empleados y dispositivos de confianza. UEBA es una herramienta crítica que puede ayudar a unificar la detección y respuesta a las amenazas internas, ayudando a cerrar la brecha en una de las amenazas más serias y a menudo pasadas por alto para su negocio.