Análisis del comportamiento del usuario

El análisis del comportamiento del usuario ( UBA ) o análisis del comportamiento de usuarios y entidades ( UEBA ), ^[1] es el concepto de analizar el comportamiento de los usuarios, sujetos, visitantes, etc. para un propósito específico. ^[2] Permite a las herramientas de ciberseguridad construir un perfil de la actividad normal de cada individuo, observando patrones de comportamiento humano , y luego destacando desviaciones de ese perfil (o anomalías) que puedan indicar un compromiso potencial. ^{[3] [4] [5]}

Propósito de la UBA

Según Johna Till Johnson de Nemertes Research , la razón para utilizar UBA es que " los sistemas de seguridad proporcionan tanta información que es difícil descubrir información que realmente indique la posibilidad de un ataque real. Las herramientas de análisis ayudan a dar sentido a la gran cantidad de datos que recopilan SIEM , IDS /IPS, registros del sistema y otras herramientas. Las herramientas UBA utilizan un tipo especializado de análisis de seguridad que se centra en el comportamiento de los sistemas y las personas que los utilizan. La tecnología UBA evolucionó primero en el campo del marketing, para ayudar a las empresas a comprender y predecir los patrones de compra de los consumidores . Pero resulta que UBA también puede ser extraordinariamente útil en el contexto de la seguridad". ^[6]

Distinción entre UBA y UEBA

La E en UEBA extiende el análisis para incluir actividades de entidades que ocurren pero que no están necesariamente vinculadas o ligadas directamente a las acciones específicas de un usuario, pero que aún pueden correlacionarse con una vulnerabilidad, reconocimiento, violación de intrusión o ocurrencia de explotación. ^[2]

El término "UEBA" fue acuñado por Gartner en 2015. UEBA rastrea la actividad de dispositivos, aplicaciones, servidores y datos. Los sistemas UEBA producen más datos y brindan opciones de informes más complejas que los sistemas UBA. ^[1]

Diferencia con EDR

Las herramientas UEBA se diferencian de las capacidades de detección y respuesta de endpoints (EDR) en que UEBA se centra en el análisis del comportamiento del usuario, mientras que EDR se centra en el endpoint . ^[3] Las soluciones de ciberseguridad, como EDR y XDR, suelen priorizar la detección y la respuesta a las amenazas externas una vez que se ha producido un incidente. Las soluciones EUBA e IRM buscan prevenir riesgos potenciales a nivel interno mediante el análisis del comportamiento de los empleados.

Véase también

• Análisis de comportamiento
• Detección de anomalías en el comportamiento de la red
• Monitoreo de la actividad del usuario

Referencias

1. "¿Qué es el análisis del comportamiento de los usuarios (y entidades) (UBA o UEBA)?". Seguridad . Consultado el 5 de mayo de 2023 .
2. Mike Chapple, James Michael Stewart, Darril Gibson (junio de 2021). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (9.ª edición). Wiley. pág. 49. ISBN 978-1-119-78623-8.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
3. Mike Chapple, James Michael Stewart, Darril Gibson (junio de 2021). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (9.ª edición). Wiley. pág. 1009. ISBN 978-1-119-78623-8.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
4. Guía de mercado para el análisis del comportamiento del usuario
5. La búsqueda de análisis de datos: ¿Está su SIEM en la lista de sistemas en peligro?
6. Las herramientas de análisis del comportamiento del usuario pueden frustrar los ataques de seguridad

Enlaces externos

• El ABC de la UBA