¿Qué es el análisis del comportamiento?


El análisis del comportamiento utiliza aprendizaje automático, inteligencia artificial, macrodatos y analíticas para detectar comportamientos maliciosos mediante el análisis de diferencias en las actividades cotidianas normales.

Definición de análisis del comportamiento
Los ataques maliciosos tienen una cosa en común: todos se comportan de manera diferente al comportamiento diario normal dentro de un sistema o una red. A menudo, las empresas pueden detectar comportamientos maliciosos por firmas que están directamente relacionadas con ciertos tipos de ataques conocidos. Sin embargo, a medida que crece la sofisticación de los atacantes, desarrollan continuamente nuevas tácticas, técnicas y procedimientos (TTP) que les permiten no solo penetrar en entornos vulnerables, sino también extenderse lateralmente sin ser detectados.

Es aquí donde entra en juego el análisis del comportamiento. Ahora, con la ayuda de volúmenes masivos de datos de terminales sin filtrar, el personal de seguridad puede usar herramientas basadas en el comportamiento, algoritmos y aprendizaje automático para determinar cuál es el comportamiento normal de los usuarios cotidianos y cuál no. El análisis del comportamiento puede identificar eventos, tendencias y patrones, tanto actuales como históricos, que están fuera de los parámetros de las normas cotidianas.

Mediante la identificación de estas anomalías, los equipos de seguridad pueden obtener visibilidad e identificar tácticas de comportamiento inesperadas de los atacantes desde el principio, antes de que ejecuten por completo su plan de ataque. El análisis del comportamiento también puede ayudar a descubrir las causas principales y proporcionar información para la identificación y previsión futuras de ataques similares.

¿Qué comportamientos indican una actividad maliciosa?

Algunos de los indicios de actividad maliciosa en un entorno son la sincronización inusual de eventos, secuencias anómalas de acciones o un aumento del traslado de datos. A continuación se muestran algunos ejemplos concretos de comportamientos que no son muy normales y pueden llevar a detectar un ataque en curso.

  • Un enlace de un archivo que parece auténtico se carga en la memoria y después carga de forma remota un script para buscar datos confidenciales que se envían al atacante.

  • Se inyecta código malicioso en aplicaciones ya instaladas, como Microsoft Word, Flash, Adobe PDF Reader, un navegador web o JavaScript, para detectar vulnerabilidades que permitan ejecutar código malicioso.

  • Las herramientas nativas del sistema, como Instrumental de administración de Microsoft Windows (WMI) y los lenguajes de scripting como Microsoft PowerShell, que normalmente se considerarían muy fiables, se convierten en objetivos para ejecutar scripts de forma remota.

Panorama del sector: el análisis del comportamiento es ahora imprescindible

A principios de 2016, el Instituto SANS reconoció la importancia del análisis del comportamiento en un documento técnico, «Using Analytics to Predict Future Attacks and Breaches». El autor señala en la conclusión, que «el uso de plataformas de análisis de datos más avanzadas para incorporar nuevos tipos de datos, y más tipos de datos, que se centren en una mayor visibilidad de las amenazas de red y en automatizar las acciones de detección y respuesta, puede ayudar a los equipos de seguridad ahora y en el futuro a medida que evolucionan para poder hacer frente a estos desafíos».

El futuro ya ha llegado y, en 2018, el análisis del comportamiento es esencialmente un requisito básico para la seguridad avanzada de los terminales. De hecho, en el informe del Cuadrante mágico de Gartner sobre plataforma de protección de los terminales, se consideran el aprendizaje automático y la supervisión del comportamiento como puntos fuertes de los visionarios y los líderes. El informe también señala que «los proveedores más visionarios y punteros en 2018 y 2019 serán los que utilicen los datos recopilados a través de sus medios de [detección y respuesta en los terminales] para proporcionar orientación y asesoramiento prácticos que se adapten a sus clientes».

El 17 % de las vulneraciones de 2017 se debieron a errores humanos (no a ataques maliciosos intencionados).

La respuesta: pensar en la nube

Para dar rienda suelta al análisis del comportamiento, las empresas deben aprovechar la nube y su inmenso poder computacional, su escalabilidad ilimitada y su facilidad de gestión. La nube proporciona un enfoque proactivo que combina macrodatos con potentes análisis que ayudan a adelantarse a los ataques emergentes más recientes y peligrosos.

Por ejemplo, la nube permite el análisis de transmisiones, con el que se puede supervisar la actividad normal y anómala de un terminal, y compararla con los datos históricos sin filtrar del terminal. Al analizar estos flujos de eventos y compararlos con lo que parecen normales, la nube crea un sistema de vigilancia de amenazas global que no solo detecta los ataques, sino que predice nuevos ataques nunca vistos.

Este poderoso enfoque no es posible con las soluciones de antivirus tradicionales, que se basan en firmas, pero sí lo es con el software antivirus de nueva generación (NGAV).

NGAV en la nube ofrece comunicación bidireccional con los terminales, de manera que todos los datos sin filtrar de los terminales se pueden supervisar y convertir en análisis predictivos que protegen de forma proactiva a las empresas ante ataques sofisticados.

Además, la nube ofrece las ventajas de infraestructura que la mayoría de las empresas ya están disfrutando con otro software empresarial: operaciones simplificadas y menos costosas, implementación más rápida y la tecnología más reciente e innovadora.

Productos, soluciones y recursos de VMware relacionados con el análisis de macrodatos

Proteja sus aplicaciones y sus datos mediante la seguridad intrínseca

Una nueva estrategia de seguridad: la seguridad intrínseca le ofrece un enfoque esencialmente diferente para proteger su empresa.

VMware NSX Service-defined Firewall

Confíe en un cortafuegos interno de capa 7 con estado, distribuido y basado en NSX para proteger el tráfico del centro de datos en cargas de trabajo virtuales, físicas, contenedorizadas y en la nube.

Plataforma de área de trabajo digital moderna

Distribuya y gestione cualquier aplicación en cualquier dispositivo de forma sencilla y segura con VMware Workspace ONE, una plataforma de área de trabajo digital inteligente.