Embed Size (px)
Citation preview
Victor M Anda Director LATAM Exabeam
Aplicando la Ciencia de Datos al Análisis del Comportamiento de Usuarios y Entidades para
la Detección de Amenazas
“ La lógica nos permite saber si algo es verdadero en relación con otras cosas que consideramos verdaderas “
Inteligencia Artificial
Machine Learning
Deep Learning
Estadistica
Machine Learning Análisis de Datos
Ciencia De
Datos
Es el estudio de dónde proviene la información, qué representa y cómo puede convertirse en un recurso valioso en la creación de
estrategias comerciales y de TI. La extracción de grandes cantidades de datos estructurados y no estructurados para
identificar patrones puede ayudar a una organización a controlar los costos, aumentar la eficiencia, reconocer nuevas oportunidades de
mercado y aumentar la ventaja competitiva de la organización.
Definiendo la Ciencia de Datos
Es el estudio de dónde proviene la información, qué representa y cómo puede convertirse en un recurso valioso en la creación de
estrategias comerciales y de TI. La extracción de grandes cantidades de datos estructurados y no estructurados para
identificar patrones puede ayudar a una organización a controlar los costos, aumentar la eficiencia, reconocer nuevas oportunidades de
mercado y aumentar la ventaja competitiva de la organización.
Definiendo la Ciencia de Datos
De los empleados que dejan una organización toman información sensible a su partida.59%
La frecuencia se incrementa
De los empleados de TI, toman información cuando son despedidos.
De las organizaciones tenían al menos un interno malicioso durante el ultimo año que representó amenaza.
De las violaciones a datos en 2018, se atribuyeron a internos que por descuido y abuso; hicieron mal uso de la información.
90% 41% 39%
Tiempo promedio que tardaron las organizaciones en resolver incidentes maliciosos.52 días
1. 2. 3.
Employees in the CERT insider threat database (over 700 cases) Surveyed for a study by Cyber-Ark software Forrester: Hunting Insider Threats Forrester's Model For Establishing An Insider Threat Team
El comportamiento de los empleados fue señalado por sus compañeros como sospechoso.
El promedio total de incidentes relacionados con información privilegiada de acuerdo con un estudio del Instituto Ponemon.$4.7M
Fueron precedidos por una terminación, disputa con su jefe o colaboradores.
Existe un impacto financiero significativo
97%92%
El comportamiento adverte
Riesgo de amenazas internas en continuo crecimiento
Empleados Clientes
Proveedores y Contratistas
Usuarios Privilegiados
Fraude Engaño a la organización al abusar de posiciones de confianza y acceso
Robo Subversión de las medidas de seguridad para abusar de posiciones de confianza y acceso
Sabotaje Destrucción de propiedades, sistemas y datos
Espionaje Explotación de sistemas para robar secretos de la organización
Definiendo amenazas internas
UEBA (User and Entity Behavior Analytics) permite la detección oportuna de ataques dirigidos, amenazas internas y fraudes aplicando analíticos avanzados mediante el aprendizaje automático (Machine Learning).
Gartner 2015
UEBA está centrado en el USUARIO. No "relacionado con él usuario”. Busca analizar el comportamiento del mismo, como su misión y propósito principal. No se trata de análisis de seguridad en general. Entonces, "U" es IMPRESCINDIBLE para UEBA.
Sin embargo, UEBA no es exclusivo del usuario. Las tecnologías UEBA analizan otras cosas además de los usuarios (hosts, dispositivos, etc.). Entonces, UEBA, es esencialmente U+E+BA. Ir mas allá del "Usuario" a la "Entidad" es imprescindible para UEBA.
La "B" en UEBA apunta al enfoque en los “comportamientos y actividades” del usuario y entidades; no en sus roles, privilegios y otros atributos.. Por supuesto, la tecnología UEBA necesita esos parámetros, pero su misión principal es encontrar comportamientos estadísticamente significativos.
Finalmente, el análisis avanzado en lugar de la simple coincidencia basada en reglas es otra parte del "ADN UEBA". Esto es mejor que solo reglas de correlación estáticas y de mantenimiento manual. La analítica es definitivamente una NECESIDAD para UEBA.
User and Entity Behavior Analytics - UEBA
U
E
B
A
“Un empleado de recursos humanos inicia sesión en un equipo donde se almacena propiedad intelectual y descarga 700 MB de información” “Un programador inicia sesión en los sistemas corporativos de finanzas y descarga reportes destinados a los inversionistas” “Un analista subcontratado ingresa a la base de datos de clientes desde Mexico y Brasil simultáneamente a las 2 AM”
“Un empleado de ventas edita un grupo de lineas de código en sistemas en producción desde una ubicación donde no se tiene oficina”
Almacena hasta el último evento de seguridad y elimina la barrera de datos.
Encuentra lo inescrutable utilizando UEBA y ML para la detección de amenazas.
Toma la acción correcta todo el tiempo Automatizando las respuestas de seguridad.
Linea de Tiempo Inteligente Almacenada
Threat Intelligence
Detección/Investigación
Entity Analytics
Threat Hunter
Colección
Data Lake
Connectors
Respuesta
Case Manager
Incident Responder
Advanced Analytics
Cloud Security Services
Ingesta Integración
Auto construcción de sesiones para cada usuario en la red, con base en sus eventos -logs
Compara todas las sesiones de todos los usuarios y entidades para entender el comportamiento normal o anormal
Identifica comportamientos anómalos y asigna una calificación de riesgo al usuario o entidad
El comportamiento normal pone a las anomalías en perspectiva
El comportamiento normal pone a las anomalías en perspectiva
Análisis de comportamiento de entidades
Entendiendo como las entidades normalmente se comportan, permite identificar riesgos y actividades anómalas que pueden indicar compromiso
CCTV 1 comunicándose con destino en Puerto 80 (HTTP) CCTV 1 comunicándose con destino en Puerto 80 (HTTP) CCTV 1 comunicándose con destino en Puerto 80 (HTTP) CCTV 1 comunicándose con destino en Puerto 443 (HTTPS) CCTV 1 comunicándose con destino en Puerto 443 (HTTPS)
CCTV 1 comunicándose con destino en Puerto 7789 (HTTP)
Si repentinamente habló en un nuevo puerto por primera vez, sería considerado una actividad anómala
Por ejemplo, un CCTV que habla con frecuencia en los mismos Puertos
Cada comportamiento anómalo agrega puntaje a la calificación de riesgo de la entidad
Una vez que la entidad alcance el umbral de riesgo, es escalado a un analista de seguridad para su atención.
8:29AM
8:32AM
8:45AM
9:15AM
9:22AM
10:30AM
AC
TIV
ITY
TIM
EL
INE
RIS
K T
RA
CK
ING
SCORE95
CCTV 1 communicated with destination on Port 80 (HTTP)
Remote Logon to Database Server
Account Switch to DBA
Database query on payment_card_info
CCTV 1 communicated with destination on Port 80 (HTTP)
Successful network connection from 10.111.122.22 to 95.208.211.17
+10
+20
+25
+40
Risk score = 30
Risk score = 55
Risk score = 95
