El software de análisis de comportamiento de usuarios y entidades (UEBA) es una familia de herramientas utilizadas para desarrollar y modelar comportamientos de referencia para personas y hardware dentro de una red, con el objetivo final de identificar anomalías y alertar al personal de seguridad. Estas herramientas aprovechan el aprendizaje automático para identificar patrones y monitorear comportamientos de usuarios o máquinas, notificando a las partes interesadas sobre actividad anormal, comportamiento malicioso o problemas de rendimiento que surgen de errores o acciones operativas inadecuadas.
Las empresas utilizan la tecnología UEBA para proteger su información sensible y sistemas críticos para el negocio tanto de amenazas externas como internas. Estos pueden ser empleados o socios que participan en actividades nefastas como robar datos, ajustar privilegios o violar políticas de la empresa. Las soluciones UEBA también pueden detectar cuentas comprometidas que pueden haber resultado de contraseñas débiles o estafas de phishing que proporcionan acceso a la red a partes no autorizadas. UEBA puede descubrir varios tipos de amenazas externas también; más notablemente, ataques de fuerza bruta y escalamiento de privilegios.
UEBA funciona de manera similar al software de autenticación basada en riesgos (RBA) y al software de redes de confianza cero. Ambas herramientas utilizan el aprendizaje automático para evaluar el riesgo e identificar actores de amenazas, pero ninguna está diseñada para monitorear constantemente el comportamiento de los usuarios dentro de una red específica. RBA toma en cuenta variables como el acceso histórico, la ubicación y la dirección IP para determinar el riesgo al autenticar. Las arquitecturas de redes de confianza cero están diseñadas para segmentar redes y monitorear la actividad de la red. Si se detectan amenazas, un segmento de la red o un punto final individual será restringido del acceso a la red.
Para calificar para la inclusión en la categoría de Análisis de Comportamiento de Usuarios y Entidades (UEBA), un producto debe:
Utilizar aprendizaje automático para desarrollar comportamientos de referencia para usuarios individuales y recursos dentro de una red
Monitorear a los usuarios y recursos dentro de una red para detectar amenazas internas y otras anomalías
Proporcionar detalles de incidentes y flujos de trabajo de remediación, o integrarse con soluciones de respuesta a incidentes
Integrarse con sistemas de seguridad existentes para hacer cumplir políticas y desarrollar procesos automatizados de gestión de incidentes
