Kaspersky incorpora un paquete de reglas UEBA a su plataforma UMP para detección avanzada de amenazas internas

Introducción

La evolución constante de las amenazas modernas ha impulsado a los fabricantes de soluciones de ciberseguridad a reforzar sus capacidades analíticas, especialmente en la detección de comportamientos anómalos y amenazas internas. Kaspersky ha anunciado recientemente la integración de un paquete de reglas de User and Entity Behavior Analytics (UEBA) en su solución Kaspersky Unified Monitoring and Analysis Platform (KUMA). Esta mejora apunta directamente a mejorar la capacidad de identificación y respuesta ante actividades sospechosas tanto de usuarios como de entidades dentro de la infraestructura corporativa.

Contexto del Incidente o Vulnerabilidad

El riesgo representado por amenazas internas y actores maliciosos que evaden los controles tradicionales es una preocupación creciente para las organizaciones. Según el último informe de Ponemon Institute, el 60% de las brechas de seguridad en 2023 involucraron algún tipo de abuso de credenciales o comportamiento anómalo de usuarios legítimos. Las soluciones de SIEM tradicionales suelen depender de firmas y correlaciones básicas, lo que deja espacio para ataques sofisticados o movimientos laterales que no generan alertas inmediatas.

La incorporación de capacidades UEBA responde a esta necesidad, permitiendo que las plataformas de monitorización identifiquen patrones de comportamiento anómalos en tiempo real, como accesos fuera de horario, movimientos laterales, escaladas de privilegios y exfiltración de datos, incluso cuando los atacantes utilizan credenciales legítimas.

Detalles Técnicos

El nuevo paquete de reglas UEBA para KUMA está diseñado para complementar los mecanismos de detección clásicos del SIEM mediante el análisis avanzado de logs y la aplicación de técnicas de machine learning. Las reglas cubren los principales vectores de ataque asociados con amenazas internas y ataques post-explotación, alineándose con técnicas del marco MITRE ATT&CK, como:

– T1078 (Valid Accounts): Detección de usos anómalos de cuentas legítimas.
– T1086 (PowerShell): Identificación de comandos y scripts inusuales ejecutados mediante PowerShell.
– T1021 (Remote Services): Monitorización de conexiones remotas atípicas.
– T1071 (Application Layer Protocol): Exfiltración de datos a través de protocolos estándar.

Cada regla del paquete UEBA emplea el análisis de series temporales y la comparación de comportamiento actual frente a la línea base establecida para cada usuario o entidad. Por ejemplo, si un usuario administrativo accede a sistemas o recursos no habituales fuera de su horario normal, se genera una alerta de riesgo.

Además, el paquete soporta la ingestión de una amplia variedad de Indicadores de Compromiso (IoC), como hashes, direcciones IP, dominios y patrones de actividad sospechosa. La integración con frameworks como MITRE ATT&CK facilita la correlación de eventos y la priorización automática de incidentes según el nivel de riesgo.

Impacto y Riesgos

La falta de sistemas UEBA en soluciones SIEM puede suponer un aumento significativo del tiempo de detección (MTTD) y respuesta (MTTR) ante incidentes internos, lo que a su vez incrementa el impacto potencial en términos económicos y reputacionales. Según estadísticas recientes, el coste medio de una brecha causada por un insider asciende a 15 millones de dólares, y el tiempo medio de contención puede superar los 90 días si no se implementan herramientas avanzadas de análisis de comportamiento.

Las organizaciones reguladas bajo normativas como GDPR y la próxima directiva NIS2 enfrentan además sanciones económicas y obligaciones de reporte más estrictas en caso de incidentes no detectados o gestionados de forma deficiente.

Medidas de Mitigación y Recomendaciones

Para aprovechar al máximo el paquete UEBA de KUMA, se recomienda:

1. Activar y ajustar todas las reglas UEBA relevantes según el contexto de negocio y el perfil de riesgo de la organización.
2. Integrar la plataforma con fuentes de logs críticas: Active Directory, VPN, sistemas EDR, servidores de archivos y aplicaciones SaaS.
3. Definir líneas base de comportamiento para usuarios privilegiados y entidades críticas, revisando periódicamente los umbrales.
4. Automatizar la respuesta ante incidentes de alto riesgo mediante playbooks SOAR o scripts personalizados.
5. Formar a los equipos SOC para la interpretación de alertas UEBA y la investigación de incidentes complejos.

Opinión de Expertos

Expertos en seguridad como David Barroso (CounterCraft) y Chema Alonso (Telefonica Tech) han destacado la importancia de la analítica de comportamiento en la defensa actual. Barroso afirma: “Las capacidades UEBA no solo mejoran la detección de amenazas internas, sino que permiten anticipar movimientos laterales antes de que un atacante logre sus objetivos”. Por su parte, Alonso enfatiza que “la integración de reglas UEBA en SIEM es un paso clave para cumplir con los requisitos de las nuevas normativas europeas de ciberseguridad”.

Implicaciones para Empresas y Usuarios

La adopción de soluciones UEBA como parte integral del SIEM permite a las empresas reducir significativamente el riesgo asociado a accesos no autorizados y actividades maliciosas internas. Esta tendencia está alineada con la demanda creciente de capacidades avanzadas de detección y respuesta (XDR) y la convergencia de las herramientas de seguridad en plataformas centralizadas. Para los usuarios, implica una mayor protección de sus datos y una reducción de la superficie de ataque, aunque también puede aumentar la supervisión de su actividad laboral.

Conclusiones

La incorporación de un paquete de reglas UEBA a Kaspersky Unified Monitoring and Analysis Platform representa un avance significativo en la detección y respuesta ante amenazas internas y comportamientos anómalos. En un contexto regulatorio y de amenazas cada vez más exigente, las organizaciones que adopten estas capacidades estarán mejor preparadas para identificar y mitigar riesgos antes de que se materialicen en incidentes graves.

(Fuente: www.kaspersky.com)