En el campo de la seguridad de la información , el monitoreo de la actividad del usuario (UAM) o análisis de la actividad del usuario (UAA) es el monitoreo y registro de las acciones del usuario. UAM captura las acciones del usuario, incluido el uso de aplicaciones, ventanas abiertas, comandos del sistema ejecutados, casillas de verificación presionadas, texto ingresado/editado, URL visitadas y casi todos los demás eventos en pantalla para proteger los datos al garantizar que los empleados y contratistas permanezcan dentro de sus tareas asignadas. tareas y no suponen ningún riesgo para la organización.
El software de monitoreo de la actividad del usuario puede ofrecer una reproducción similar a un video de la actividad del usuario y procesar los videos en registros de actividad del usuario que mantienen registros paso a paso de las acciones del usuario que se pueden buscar y analizar para investigar cualquier actividad fuera de alcance. [1]
La necesidad de UAM aumentó debido al aumento de incidentes de seguridad que involucran directa o indirectamente las credenciales de los usuarios, exponiendo información de la empresa o archivos sensibles. En 2014, hubo 761 violaciones de datos en los Estados Unidos, lo que resultó en más de 83 millones de registros de clientes y empleados expuestos. [2] Dado que el 76 % de estas infracciones se deben a credenciales de usuario débiles o explotadas, la UAM se ha convertido en un componente importante de la infraestructura de TI . [3] Las principales poblaciones de usuarios con las que la UAM pretende mitigar los riesgos son:
Las organizaciones utilizan contratistas para completar tareas operativas de tecnología de la información . Los proveedores remotos que tienen acceso a los datos de la empresa son riesgos. Incluso sin intenciones maliciosas, un usuario externo, como un contratista, supone un gran problema de seguridad.
El 70% de los usuarios empresariales habituales admitió tener acceso a más datos de los necesarios. Las cuentas generalizadas brindan a los usuarios comerciales habituales acceso a datos clasificados de la empresa. [4] Esto hace que las amenazas internas sean una realidad para cualquier empresa que utilice cuentas generalizadas.
Las cuentas de administrador están fuertemente monitoreadas debido a la naturaleza de alto perfil de su acceso. Sin embargo, las herramientas de registro actuales pueden generar "fatiga de registro" en estas cuentas de administrador. La fatiga de registros es la sensación abrumadora de intentar manejar una gran cantidad de registros en una cuenta como resultado de demasiadas acciones del usuario. Las acciones dañinas de los usuarios pueden pasarse por alto fácilmente, ya que cada día se recopilan miles de acciones de usuarios.
Según el Informe de incidentes de filtración de datos de Verizon, "El primer paso para proteger sus datos es saber dónde están y quién tiene acceso a ellos". [2] En el entorno de TI actual, "hay una falta de supervisión y control sobre cómo y quién entre los empleados tiene acceso a información confidencial y sensible". [5] Esta aparente brecha es uno de los muchos factores que han resultado en un gran número de problemas de seguridad para las empresas.
La mayoría de las empresas que utilizan UAM suelen separar los aspectos necesarios de UAM en tres componentes principales.
La ciencia forense visual implica la creación de un resumen visual de la actividad del usuario potencialmente peligrosa. Cada acción del usuario se registra y registra. Una vez que se completa la sesión de un usuario, la UAM ha creado un registro escrito y un registro visual, ya sean capturas de pantalla o videos de lo que ha hecho exactamente un usuario. Este registro escrito difiere del de un SIEM o herramienta de registro porque captura datos a nivel de usuario, no a nivel de sistema, proporcionando registros en inglés simple en lugar de SysLogs (creados originalmente con fines de depuración). Estos registros textuales se combinan con las capturas de pantalla o resúmenes en vídeo correspondientes. Utilizando estos registros e imágenes correspondientes, el componente de análisis forense visual de UAM permite a las organizaciones buscar acciones exactas del usuario en caso de un incidente de seguridad. En el caso de una amenaza a la seguridad, es decir, una violación de datos, la ciencia forense visual se utiliza para mostrar exactamente lo que hizo un usuario y todo lo que condujo al incidente. La ciencia forense visual también se puede utilizar para proporcionar pruebas a cualquier organismo encargado de hacer cumplir la ley que investigue la intrusión .
Las alertas de actividad del usuario tienen el propósito de notificar a quien opera la solución UAM sobre un percance o paso en falso relacionado con la información de la empresa. Las alertas en tiempo real permiten notificar al administrador de la consola en el momento en que se produce un error o una intrusión. Las alertas se agregan para cada usuario para proporcionar un perfil de riesgo del usuario y una clasificación de amenazas. Las alertas se pueden personalizar en función de combinaciones de usuarios, acciones, hora, ubicación y método de acceso. Las alertas se pueden activar simplemente al abrir una aplicación o ingresar una determinada palabra clave o dirección web. Las alertas también se pueden personalizar en función de las acciones del usuario dentro de una aplicación, como eliminar o crear un usuario y ejecutar comandos específicos.
Los análisis del comportamiento del usuario añaden una capa adicional de protección que ayudará a los profesionales de la seguridad a vigilar el eslabón más débil de la cadena. Al monitorear el comportamiento del usuario, con la ayuda de un software dedicado que analiza exactamente lo que hace el usuario durante su sesión, los profesionales de la seguridad pueden asociar un factor de riesgo a los usuarios y/o grupos específicos, y ser alertados inmediatamente con una señal de alerta cuando se produzca un nivel alto. -El usuario de riesgo hace algo que puede interpretarse como una acción de alto riesgo, como exportar información confidencial del cliente, realizar grandes consultas a bases de datos que están fuera del alcance de su función, acceder a recursos a los que no debería acceder, etc.
La UAM recopila datos de los usuarios registrando la actividad de cada usuario en aplicaciones, páginas web y sistemas y bases de datos internos. UAM abarca todos los niveles y estrategias de acceso ( RDP , SSH , Telnet , ICA , inicio de sesión directo en la consola, etc.). Algunas soluciones UAM se combinan con entornos Citrix y VMware .
Las soluciones UAM transcriben todas las actividades documentadas en registros de actividad del usuario. Los registros de UAM coinciden con reproducciones de vídeo de acciones simultáneas. Algunos ejemplos de elementos registrados son nombres de aplicaciones ejecutadas, títulos de páginas abiertas, URL, texto (escrito, editado, copiado/pegado), comandos y scripts.
UAM utiliza tecnología de grabación de pantalla que captura las acciones individuales del usuario. Cada reproducción similar a un vídeo se guarda y va acompañada de un registro de actividad del usuario. Las reproducciones difieren de la reproducción de video tradicional al screen scraping , que es la compilación de capturas de pantalla secuenciales en una repetición similar a un video . Los registros de actividad del usuario combinados con la reproducción similar a un video proporcionan un resumen con capacidad de búsqueda de todas las acciones del usuario. Esto permite a las empresas no sólo leer, sino también ver exactamente lo que hizo un usuario en particular en los sistemas de la empresa.
Que el seguimiento de la actividad del usuario ponga en peligro la privacidad depende de cómo se define la privacidad según las diferentes teorías. Mientras que en la "teoría del control", la privacidad se define como los niveles de control que un individuo tiene sobre su información personal, la "teoría del acceso sin restricciones" define la privacidad como la accesibilidad de los datos personales de uno a otros. Utilizando la teoría del control, algunos argumentan que el sistema de monitoreo disminuirá el control de las personas sobre la información y, por lo tanto, independientemente de si el sistema se utiliza o no, conducirá a una pérdida de privacidad. [6]
Muchas regulaciones exigen un cierto nivel de UAM, mientras que otras sólo exigen registros de actividad con fines de auditoría. UAM cumple con una variedad de requisitos de cumplimiento normativo ( HIPAA , ISO 27001 , SOX , PCI y otros). La UAM generalmente se implementa con fines de auditoría y cumplimiento, para que sirva como una forma para que las empresas hagan sus auditorías más fáciles y eficientes. Una solicitud de información de auditoría sobre la actividad del usuario se puede atender ante la UAM. A diferencia de las herramientas de registro normales o SIEM , UAM puede ayudar a acelerar un proceso de auditoría mediante la creación de los controles necesarios para navegar en un entorno regulatorio cada vez más complejo. La capacidad de reproducir las acciones del usuario brinda soporte para determinar el impacto en la información regulada durante la respuesta a incidentes de seguridad.
La UAM tiene dos modelos de implementación. Enfoques de monitoreo basados en dispositivos que utilizan hardware dedicado para realizar el monitoreo observando el tráfico de la red. Enfoques de monitoreo basados en software que utilizan agentes de software instalados en los nodos a los que acceden los usuarios.
Más comúnmente, el software requiere la instalación de un agente en los sistemas (servidores, escritorios, servidores VDI, servidores de terminales) en los que desea monitorear los usuarios. Estos agentes capturan la actividad del usuario y envían información a una consola central para su almacenamiento y análisis. Estas soluciones se pueden implementar rápidamente de manera gradual, dirigiéndose primero a los usuarios y sistemas de alto riesgo con información confidencial, lo que permite a la organización ponerse en marcha rápidamente y expandirse a nuevas poblaciones de usuarios según lo requiera el negocio.