IBM es una de las primeras empresas en incursionar en este tema con su QRadar User Behavior Analytics. Esta App disponible de forma gratuita en el IBM Security App Exchange, analiza los patrones de comportamiento de los usuarios internos, genera un modelo de acciones que considera normales y alerta sobre desviaciones con el objetivo de prevenir ataques.
Si bien hubo casos anteriores, la empresa decana de la Informática es la que hoy tiene un producto con razonable grado de madurez y es el IBM QRadar User Behavior Analytics. Su objetivo es extender la plataforma de seguridad inteligente de IBM QRadar para ofrecer visibilidad proactiva de las posibles amenazas que provengan de dentro de la compañía.
[youtube_sc url=»https://youtu.be/bf_DODl8Ehs»]La empresa partió de la base que, de acuerdo a sus investigaciones, actualmente las amenazas internas suponen más de la mitad de los ataques, con la aclaración de que una cuarta parte de estos son el resultado de la acción de hackers que roban contraseñas de usuario legítimos, proveedores y partners que son víctimas de phishing y otro tipo de ataques. Es importante tener en claro que la conclusión no es que la amenaza interna implica acciones dañinas directas de los empleados, sino descuido en mantener sus credenciales a salvo. Este es un riesgo difícil de manejar, ya que un sistema tiene pocas posibilidades de defenderse de un acceso con credenciales válidas, y si no se logra un mayor grado de automatización y control de las entradas a los sistemas, siempre quedará del lado de las personas parte del cuidado de sus claves. Ante esto último la mejor contramedida era la concientización, pero la realidad es que ésta es cada vez menos eficiente a medida que se incorporan al campo laboral la generación de los Millenials, debido a su desapego a normas de prevención de riesgos.
El funcionamiento básico de IBM QRadar User Behavior Analytics se basa en emitir una alerta en el caso de que un usuario acceda en un servidor crítico por primera vez desde un dispositivo que no es el que utiliza normalmente. La aplicación detecta este tipo de acciones que considera como anomalías, a partir de una base de conocimiento que genera patrones de lo que considera como comportamiento normal de los usuarios y detecta cualquier desvío significativo de estos modelos.
IBM QRadar User Behavior Analytics ayuda a los profesionales de seguridad a luchar contra las amenazas por medio de:
- Descripción de análisis de riesgo: la app analiza las acciones del usuario que puedan suponer un riesgo y califica los comportamientos anómalos para identificar tanto usuarios internos malintencionados como cibercriminales que puedan estar utilizando contraseñas comprometidas.
- Panel de análisis de comportamientos relevantes: los profesionales de seguridad pueden tener una mayor visibilidad y comprensión de los pasos que llevan a un usuario a abrir un documento malicioso o a conseguir privilegios de acceso.
Máximo aprovechamiento de los datos de seguridad de IBM QRadar: los equipos de seguridad tienen acceso al amplio abanico de fuentes de datos e inteligencia de amenazas de QRadar para detectar amenazas en usuarios y dispositivos.
CLAVES PARA EL CANAL
- La incorporación de Apps a las infraestructuras de Seguridad Informática es una tendencia irreversible, potenciada por la cantidad de dispositivos diferentes que llega a manejar un empleado.
- Las herramientas de monitoreo por comportamiento a partir de modelos que definen lo que es normal, suelen generar una gran cantidad de falsos positivos hasta que se consolida la base de conocimiento. Este lapso suele ser incómodo para el cliente y generar quejas que recaerán sobre los proveedores. Es necesario explicar muy bien en la preventa que los beneficios aparecen luego de que la herramienta comprendió las características del sistema donde está instalada.
