Ciberseguridad: ¿Cómo detectar amenazas antes de que se produzcan daños?
A medida que van surgiendo nuevas amenazas, o que las que ya existen evolucionan para dificultar su prevención y detección, se hace necesario contar con tecnología que nos ayude a responder ante éstas. Algunas de estas amenazas hacen que las actuales soluciones de seguridad perimetral, antivirus o DLP (Data Loss Prevention) no sean suficientes.
La idea global de una solución de análisis de comportamiento de entidades y usuarios (UEBA), o al menos particularmente de IntroSpect, es obtener información de diferentes fuentes como pueden ser gestores de identidades, datos de infraestructura (firewall, servidores proxy, etc.), controles de acceso, SaaS (Software as a Service), o IaaS (Infraestructure as a Service), que pasa por un analizador interno (IntroSpect Analyzer) el cual, entre otras tareas, realiza un análisis de comportamiento basado en modelos Machine Learning.
A medida que IntroSpect va recibiendo y analizando información, va puntuando y “aprendiendo” de las acciones habituales de los usuarios en la red, creando un histórico de estas actividades que permitirá al UEBA detectar comportamientos inusuales. Los equipos de seguridad se dotan de información sobre usuarios, sistemas y dispositivos malintencionados, negligentes o que ponen en peligro la seguridad, eliminando la amenaza de raíz antes de provocar daños.
A modo de ejemplo, se puede dar el caso que un usuario perteneciente al grupo de usuarios de RRHH acceda solo un número determinado de veces a un servidor de ficheros, IntroSpect podría detectar un comportamiento inusual si existen más accesos de los habituales. O si por ejemplo un usuario perteneciente al grupo de usuarios de I+D rara vez sube ficheros a Internet, IntroSpect podría detectar un comportamiento inusual o sospechoso si realiza una determinada subida de ficheros. IntroSpect cuenta con la denominada Entity Risk Scoring, una puntuación interna de riesgo que permitirá al sistema tomar decisiones para, por ejemplo, dar o revocar permisos de acceso.
IntroSpect cuenta, a día de hoy, con más de 100 modelos de Machine Learning para detectar comportamientos sospechosos en nuestras redes. Además, nos ofrece toda la visibilidad de lo que ha podido ocurrir en un incidente, ayudando en el proceso del análisis forense y proporcionando a los analistas acceso inmediato a registros de investigación completos.
Con una solución UEBA como IntroSpect, podemos rellenar los huecos en prevención y detección de amenazas que nos proporcionan las actuales soluciones de seguridad. En Semic somos especialistas en soluciones Aruba IntroSpect, consúltanos.
