Aprovechar la UEBA para abordar las amenazas internas

124 views


El otro desafío es que a pesar de que este cambio se está produciendo a velocidades sin precedentes, el CEO y la junta directiva están impacientes con el tiempo que lleva llevar las oportunidades comerciales de DX al mercado. El truco es habilitar las iniciativas comerciales de DX sin abrumar los recursos limitados disponibles para el equipo de seguridad. Debido a que las infracciones de alto perfil están casi constantemente en las noticias, esos recursos limitados tienden a centrarse en mantener alejados a los malos. Es por eso que el trabajo número uno para la mayoría de las organizaciones implica el despliegue y la administración de soluciones de seguridad en su superficie de ataque en expansión, incluidas las soluciones IoT , de múltiples nubes y las implementaciones SD-WAN .

Pero como más usuarios con más dispositivos tienen más acceso a más recursos que nunca, no podemos ignorar la realidad de que muchos de nuestros riesgos se originan dentro de la red. El informe de investigaciones sobre violaciones de datos de Verizon de 2018 ha documentado que un 30% de las violaciones experimentadas por las organizaciones involucran a personas con información privilegiada. Parte de ese desafío es el resultado de la cantidad de confianza implícita que extendemos a los usuarios y dispositivos.

Abordar las amenazas internas con la UEBA

La observación de amenazas internas requiere invertir muchos pensamientos de seguridad. Comienza con el supuesto de que ya se ha producido una infracción. Pero el verdadero desafío radica en descubrir cualquier ataque en sus etapas más tempranas, mucho antes de que pueda ocurrir un compromiso perjudicial. Inicialmente, UBA simplemente proporcionó visibilidad granular en el comportamiento del usuario, ya sea dentro o fuera de la red corporativa para identificar comportamientos y actividades anómalos potencialmente maliciosos.

Al agregar Entidades a la solución, lo que la UEBA reconoce, reconoce que la seguridad verdaderamente efectiva requiere un rango de entidades que deben ser observadas y perfiladas y que esos comportamientos deben estar correlacionados con los del usuario. Este enfoque más holístico permite que el equipo de seguridad acceda a información mucho más granular, lo que les permite responder de manera más eficiente antes de que un riesgo pueda escalar a un incidente o incumplimiento.

Ambito de Control

-El monitoreo de puntos finales, ya sea dentro o fuera de la red, no solo proporciona una visibilidad profunda de los dispositivos y el comportamiento del usuario, sino que también rastrea el acceso a los recursos y el movimiento de datos para identificar mejor los comportamientos aberrantes o maliciosos.

-La prevención de escalar, comprometer o tomar control de las cuentas utilizando técnicas como el relleno de credenciales.

Motores basados ​​en reglas y de aprendizaje automático

Las soluciones de la UEBA más efectivas pueden identificar con precisión el comportamiento anormal de usuarios y dispositivos, violaciones de políticas, acceso no autorizado a datos, movimiento y exfiltración de datos incorrectos y cuentas comprometidas. Al mismo tiempo, el motor de aprendizaje automático de la UEBA aprende automáticamente los comportamientos de los usuarios a través de grupos de pares, lo que le permite detectar anomalías de comportamiento. Como resultado, puede, por ejemplo, detectar rápidamente cuando usuarios no autorizados acceden a una cuenta de usuario comprometida.

Añadiendo la UEBA a las estrategias existentes

Al vincular las soluciones UEBA con SIEM, por ejemplo, se mejora la recopilación, el análisis y la respuesta a las amenazas que se originan dentro de la red. También se puede utilizar para mejorar las aplicaciones de seguridad de punto final más tradicionales, admitir el monitoreo y la administración de Shadow IT, y puede integrarse de manera completa y sin problemas en un marco de estructura de seguridad más grande . Uno de los resultados más comunes de una estrategia de DX agresiva es la visibilidad fracturada y los controles inconsistentes para la seguridad en el entorno de la red distribuida, especialmente cuando se trata del comportamiento de los empleados y dispositivos de confianza.

Leave your comments

Post comment as a guest

0
terms and condition.

Comments