Cómo detectar comportamientos maliciosos en aplicaciones: Análisis de Jornadas del Usuario

Hace más de una década, el mercado de seguridad adoptó el análisis estadístico para complementar las soluciones basadas en reglas en un intento de proporcionar una detección más precisa para las capas de infraestructura y acceso. Sin embargo, el User and Entity Behavioral Analytics (UEBA) no cumplió con lo prometido de aumentar dramáticamente la precisión y reducir las alertas falsas debido a una suposición fundamentalmente errónea: que el comportamiento del usuario puede ser caracterizado por cantidades estadísticas, como el número promedio diario de actividades.

Cómo detectar comportamientos maliciosos en aplicaciones: Análisis de Jornadas del Usuario - Seguridad | Imagen 1 Newsmatic

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

Esta suposición errónea está incorporada en el UEBA, que caracteriza a un usuario por un promedio de actividades. En realidad, las personas no tienen "comportamientos promedio", por lo que es inútil tratar de caracterizar el comportamiento humano con cantidades como el promedio, la desviación estándar o la mediana de una sola actividad.

Índice de Contenido
  1. Cómo falla el UEBA en detectar comportamientos anormales
  2. Cómo detectar comportamientos maliciosos

Cómo falla el UEBA en detectar comportamientos anormales

A modo de ejemplo de comportamiento no promedio, conozcamos a David, un gerente de cuenta de banca personal en un gran banco. Como parte de sus actividades diarias normales, David tiene una variedad de perfiles de trabajo profesionales diferentes:

  1. En ocasiones, puede ser llamado por un cliente para realizar una transferencia bancaria en su nombre, ya sea externamente, entre sucursales o entre cuentas en la misma sucursal.
  2. En otros momentos, puede ayudar a un cliente con la compra y venta de varias acciones.
  3. De forma mensual, David genera un informe de estado de todos los clientes bajo su responsabilidad y lo envía por correo electrónico a su gerente.

Calcular un promedio de las actividades diarias en el día de trabajo de David sería insignificante. En cambio, debemos centrarnos en aprender los múltiples perfiles de actividad típicos de David.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Además de la suposición fundamentalmente errónea explicada anteriormente, el UEBA también ha fallado en aplicaciones empresariales debido a las grandes diferencias entre las aplicaciones basadas en SaaS y las aplicaciones personalizadas. Por lo tanto, se han desarrollado modelos solo para un conjunto limitado de escenarios de capa de aplicación, como en el sector financiero. Como resultado, las reglas personalizadas escritas para una aplicación específica continúan siendo la solución de detección más común para las aplicaciones.

Cómo detectar comportamientos maliciosos

Mientras que User Behavior Analytics se trata de una línea de base única para cada actividad y un análisis de cada actividad por separado, User Journey Analytics analiza secuencias de actividades y aprende para cada usuario el conjunto completo de trayectos de usuario típicos en una aplicación. El futuro radica en implementar la detección basada en secuencias en la capa de aplicación, lo que permite una detección más precisa al realizar un análisis del trayecto del usuario de una secuencia de actividades en aplicaciones SaaS y personalizadas.

La verdadera diferencia entre los usuarios no son las acciones específicas que realizan, sino los trayectos que recorren mientras las realizan. Es mucho más difícil para un impostor imitar perfiles normales de un usuario, y los empleados internos que buscan abusar o equivocarse en una aplicación eventualmente se desviarán de sus perfiles normales.

A modo de ejemplo, pensemos en un banco con muchas habitaciones, incluida una bóveda con artículos preciosos como efectivo, oro y joyas. El banco, por supuesto, tiene una entrada principal, y la bóveda también tiene su propia puerta, por la que la gente entra y sale para depositar o retirar sus bienes preciosos.

Las personas entran al banco por la puerta principal y caminan hacia adentro y hacia afuera de la bóveda, realizando diversas actividades en esa habitación en sí.

Nuestro objetivo es encontrar abusos y robos en la bóveda. Sin embargo, simplemente monitorear la puerta de la bóveda y las acciones no proporciona suficiente información para una detección precisa, ya que la mayoría de las personas involucradas están realizando acciones legítimas allí.

Cómo proteger tu computadora de los virus: métodos y consejos

Analizar el camino que las personas toman desde el momento en que ingresan por la puerta principal del banco, pasando por los pasillos y habitaciones, hasta, dentro y desde la bóveda, nos permite aprender qué trayectos son normales y esperados. Estos trayectos normales proporcionan nuestra base para la detección.

Encontramos trayectos maliciosos al comparar cada trayecto del usuario con sus trayectos normales aprendidos, porque es probable que los usuarios maliciosos utilicen un trayecto que sea diferente a lo normal. Tal vez su trayecto en el banco sea más largo porque no saben dónde van, o tal vez simplemente entran y salen rápidamente para evitar levantar sospechas.

La detección precisa de comportamientos maliciosos a través del análisis de trayectos de usuario se basa en la suposición subyacente de que una sesión anormal se caracteriza por un trayecto que no es similar a los trayectos típicos del usuario en una aplicación. Por lo tanto, al aprender trayectos típicos y crear perfiles normativos de trayectos, podemos detectar de manera precisa trayectos anormales, que están altamente correlacionados con actividades maliciosas.

Cómo detectar comportamientos maliciosos en aplicaciones: Análisis de Jornadas del Usuario - Seguridad | Imagen 2 Newsmatic

Doron Hendler es el cofundador y director ejecutivo de RevealSecurity. Doron es un ejecutivo de gestión y ventas con experiencia, con un historial probado de crecimiento de nuevas empresas tecnológicas en etapas iniciales. Ha mapeado entornos empresariales complejos en una amplia gama de mercados globales, tanto directamente como a través de socios. A lo largo de su carrera, Doron ha liderado equipos de venta de productos, soluciones y proyectos en almacenamiento, ciberseguridad, DR/BC, energía/vehículos eléctricos verdes, nube y SaaS en empresas como NICE Systems (NASDAQ:NICE) y Trivnet (adquirida por Gemalto, NASDAQ: GTO), Surf Communication (adquirida por Lytx) y mPrest.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo detectar comportamientos maliciosos en aplicaciones: Análisis de Jornadas del Usuario , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.