En tiempos de pandemia, con la mayoría de los empleados trabajando desde sus hogares, más que nunca es necesario que las organizaciones tomen varias medidas en simultáneo para estimular sus defensas contra amenazas externas e internas. Hemos visto un cambio de paradigma en la forma que concebíamos la seguridad informática, lo que sacó a la luz algunos factores alarmantes que estaban escondidos. Ahora, las organizaciones toman varias medidas para estimular sus defensas contra amenazas externas e internas. A continuación describimos algunas medidas posibles como el UEBA.
Fortalecer la inteligencia de amenazas de su organización
Un mecanismo sólido de inteligencia de amenazas da a los administradores de TI detalles básicos sobre el comportamiento malicioso o sospechoso en base a la evidencia pasada. Y esto les permite tomar decisiones informadas y adoptar medidas decisivas para evitar ataques graves.
Por ejemplo, ManageEngine Log360 puede detectar problemas correlacionando una lista negra global de los protocolos de Internet (IO) con los IP que interactúan con su red y generando alertas cuando hay una coincidencia.
A través de STIX (un lenguaje estructurado para soluciones de inteligencia de amenazas cibernéticas), TAXII (un mecanismo de transporte para compartir inteligencia de amenazas cibernéticas) o AlienVault OTX (la red de intercambio y análisis de inteligencia de amenazas cibernéticas de código abierto más reconocida en el mundo) es posible detectar posibles riesgos.
Estas fuentes contra amenazas dan un contexto adicional a los logs generados por una red y da a los administradores de TI una idea clara de la mejor forma de prevenir un ataque.
Un mecanismo de inteligencia de amenazas aprovecha las fuentes contra amenazas y correlaciona los datos recibidos de estas para detectar cualquier comportamiento sospechoso en la red de una organización.
Además, los mecanismos de inteligencia de amenazas avanzadas pueden desencadenar medidas una vez se detecta una amenaza como una respuesta para frenar un posible ataque cibernético.
Utilizar UEBA aprovechando la potencia del ‘machine learning’
Una de las mejores formas de defenderse ante ataques externos e internos es utilizando el UEBA (User and Entity Behavior Analytics) o análisis de comportamiento de usuarios y entidades.
UEBA aprovecha la potencia del machine learning para entender el comportamiento normal de los usuarios de una organización y alertar a los administradores de TI si hay alguna desviación en dicho comportamiento típico.
Log360 UEBA analiza logs de distintas fuentes, como firewalls, routers, estaciones de trabajo, bases de datos y servidores de archivos. Una vez se recopilan los datos, el algoritmo de machine learning establece una referencia de lo que se considera un “comportamiento normal” para cada usuario. Cuando la cuenta de un usuario se desvía de estos patrones de comportamiento usual, el sistema puede alertar a los administradores de TI para tomar las medidas necesarias.
Los resultados del análisis pueden ser indicadores de un comportamiento inusual, tales como: signos de amenazas internas (accesos inusuales, horas de accesos fuera de lo normal), signos de robo de datos (descargas inusuales de archivos, inicios de sesión anormales en host) o signos de cuentas comprometidas (intentos fallidos de logos en host, ejecución de software inusual para un usuario).
Combinar la inteligencia de amenazas con el UEBA
Considerando los consejos anteriores, podemos afirmar que el mejor escenario es combinar las dos prácticas. Es decir, cuando una organización ha establecido un fuerte proceso de gestión de amenazas y puede abordar ataques desde afuera y desde adentro. De este modo es fácil ver por qué combinar la inteligencia de amenazas con el UEBA fortalece la seguridad informática.
Para lograr esto, ManageEngine desarrolló Log360, una solución integral para todos los desafíos de gestión de registros y seguridad de red. Estas son algunas de las tareas que Log360 les facilitará a los administradores de TI aplicando las funciones de inteligencia artificial y machine learning para el análisis de comportamiento de usuarios y entidades:
- Obtener una referencia de comportamiento esperado para cada usuario y entidad mapeando distintas cuentas de usuarios.
- Correlacionar varias acciones de un usuario para identificar patrones sospechosos y así obtener un contexto de seguridad más significativo.
- Identificar los comportamientos anómalos de los usuarios con base en la actividad, el recuento y el patrón.
- Detectar los comportamientos anómalos de entidades en servidores de Windows, SQL, FTP y dispositivos de red como routers, firewalls y switches.
- Obtener un contexto de seguridad más significativo al correlacionar varias acciones de un usuario para identificar patrones sospechosos.
- Ver informes procesables sobre los indicadores de compromiso para obtener detalles sobre el comportamiento real y esperado.
- Priorizar amenazas y determinar qué eventos merecen investigación utilizando una evaluación de riesgo basada en una puntuación.
- Fortalecer su postura de seguridad añadiendo contexto y sustancia a los datos de SIEM (Security Information and Event Management).
- Examinar detalladamente la puntuación de riesgo de cualquier usuario o entidad para encontrar qué comportamientos producen qué puntuaciones.
Conclusión
Cualquier informe de seguridad informática mostrará que las amenazas cibernéticas van en aumento a lo largo del tiempo y que las organizaciones deben equiparse para salvaguardarse mejor contra posibles ataques. Una organización no puede asumir siempre que está a salvo. Incluso las mejores organizaciones han caído víctimas de violaciones desastrosas.
Una solución que dé sólidas funciones de inteligencia de amenazas y UEBA, que suministre funcionalidades integrales de SIEM, que monitoree los cambios en la red en tiempo real y que cumpla con las regulaciones asegurará que su organización esté protegida ante amenazas. Aquí es cuando ManageEngine Log360 entra en juego.
