Análisis de Comportamiento de Usuarios

SIEM (Security Information and Event Management) De última Generación.

La primera tecnología SIEM fue desarrollada para reducir los datos superfluos provenientes de la seguridad existente de dispositivos al descifrar tráfico de paquetes. Si una organización era atacada, se podía revisar el registro de datos y eventos de su SIEM para descubrir que era lo que había pasado y determinar con precisión el ataque, pero esto respondía más a un modelo de estrategia forense que preventivo.

El incremento de Advanced Persistent Threats (APTs) generó cambios en materia de prevención y protección que llevó al renacimiento de los SIEMs.

Actualmente, los procesos tradicionalmente lentos y poco efectivos de los SIEMs están siendo mejorados significativamente. Los metadatos en particular están teniendo un rol preponderante para mejorar la visibilidad, racionalizar la capacidad de análisis y permitir a los especialistas en seguridad llevar a cabo de manera más eficaz y escalable la minería de datos y la interpretación del comportamiento del usuario.

Análisis de comportamiento de usuario

Características

  • Un sistema SIEM avanzado debe ser diseñado para las velocidades de Big Data y los requerimientos de volumen, para ser capaz de aumentar la recolección de datos con alimentación de más fuentes, además de poder procesar conjuntos más grandes y diversos a tasas muy grandes de eventos así como almacenar millones de registros para analizar datos en tiempo real e históricos para encontrar indicadores de que una red está comprometida.
  • Debe operar en un contexto dinámico pues los profesionales de la seguridad enfocan su vigilancia en los activos valiosos que tienen mayor riesgo; en este entorno pueden satisfacer esta necesidad de seguridad ya que es posible filtrar información irrelevante al mismo tiempo que categorizan los sistemas externos e internos con base en su conducta anterior.
  • Puede realizar Analítica de Seguridad, ya que genera análisis profundos que son más avanzados si se integran otras soluciones de seguridad. Por ejemplo con los datos de vulnerabilidad un sistema SIEM puede crear un mapa de las vulnerabilidades de activos para cumplir con la confidencialidad e integridad definidas por una compañía.
  • Ser fáciles de usar, pues su administración centralizada permite una accesibilidad mejorada mediante una interfaz para usuario web, de esta forma los equipos de TI determinan la magnitud del riesgo.

Beneficios

  • La detección de amenazas previamente desconocidas. Para ello se apoya en el machine learning y en tecnologías de última generación que permiten, por ejemplo, detectar anomalías en los comportamientos, sin que para ello sea necesario disponer de reglas o firmas. La ventaja es que no es necesario esperar a que un evento malicioso tenga lugar, sino que SIEM seguridad alerta ya sobre la actividad potencialmente malintencionada.
  • Una mayor velocidad a la hora de llevar a cabo la investigación de las alertas. El contexto agregado, la visibilidad y la inteligencia de amenazas brindan a los analistas de seguridad un mayor conocimiento, sobre el que decidir acerca del modo más oportuno de actuar. Esta rapidez tiene su origen en la contextualización y la recopilación de la inteligencia de amenaza relacionada con la alerta. Por supuesto, en el caso de los proveedores líderes del grupo, estas capacidades son predominantemente visuales, para acortar el tiempo necesario para la interpretación de los datos y aumentar la productividad. Además, al incorporar la automatización, los usuarios tienen a su disposición varias recomendaciones sobre los siguientes pasos a tomar.
  • La posibilidad de buscar amenazas en registros archivados. Algunos de los ataques más difíciles de detectar hoy en día son los que permanecen inactivos durante largos periodos de tiempo dentro de la red interna. SIEM seguridad facilita el hacerles frente ya que emplea herramientas analíticas para la búsqueda de amenazas en registros archivados.
  • La monitorización de las actividades que se llevan a cabo dentro de la red. Las soluciones de SIEM seguridad proveen de la información necesaria sobre la actividad de los usuarios y los dispositivos empleados para cada interacción. Esta granularidad ayuda a identificar signos de comportamiento malicioso, como cuentas comprometidas o endpoints infectados.