User Behavior Analytics: Mejores prácticas que deberías comenzar ahora

¿Cuánto sabes sobre User Behavior Analytics (UBA), solución emergente que ayuda a detectar actividades maliciosas y abusivas por parte de los usuarios internos en el entorno de TI que de otro modo podrían pasar desapercibidas?

Este artículo detalla los principales desafíos para proteger los activos más críticos dentro de su infraestructura de TI y ofrece las mejores prácticas para la implementación exitosa de UBA.

Desafíos para asegurar el entorno de TI moderno:

• Las empresas carecen de visibilidad sobre la actividad de los empleados y el uso de aplicaciones en sistemas críticos de TI. Consulta nuestras infografías recientes sobre la TI sombra.
• Las estrategias de defensa heredadas suelen centrarse en el perímetro, por lo que no logran identificar amenazas internas o ataques en curso dentro de la red.
• Los equipos de seguridad a menudo se ven abrumados por el enorme volumen de registros de auditoría generados cada día, aumentando el riesgo de que se puedan pasar por alto acciones importantes.
• La mayoría de las aplicaciones de seguridad heredadas, como las soluciones SIEM, consumen mucho tiempo en su uso.

Mejores prácticas:

1. Identifique las fuentes existentes de datos sobre el comportamiento del usuario, incluyendo registros, almacenes de datos, flujo de datos de red, etc. Cuanto más datos tenga, mejor.

2. Integre datos de otros sistemas de monitoreo, como sistemas avanzados de gestión de amenazas y sistemas de gestión de relaciones con clientes (CRM).

3. Active Active Directory Reporting para rastrear quién hace qué en sus sistemas críticos.

4. Active la auditoría para todos los sistemas que contengan información sensible, incluyendo sus servidores de archivos, SharePoint, servidores SQL, etc.

5. Si está utilizando aplicaciones SaaS, habilite el registro de acceso y actividad del usuario.

6. Realice un seguimiento de la creación de cuentas y los inicios de sesión, ya que dicha actividad puede revelar la toma de control de cuentas y otros ataques.

7. Active el registro en diario en su servidor de correo electrónico y utilice software de e-discovery para el análisis del flujo de correos electrónicos.

8. Revise periódicamente los permisos efectivos y aplique un modelo de privilegios mínimos.

9. Rastree y controle el tráfico de internet de sus usuarios mediante software de filtrado web.

10. Proporcione a su solución UBA todos los datos mencionados anteriormente. Ajuste sus reglas, alertas, informes y umbrales para reducir el ruido y las anomalías de falsos positivos.

11. Revise los informes de UBA sobre actividades anómalas regularmente e investigue los incidentes con prontitud.

Esta funcionalidad de security analytics le ayuda a descubrir amenazas que pueden comprometer su entorno de TI en la nube híbrida, para que pueda proteger los activos que más importan.

En nuestra edición de julio de SysAdmin Magazine, nuestros expertos ofrecen las mejores prácticas para profesionales de TI sobre cómo detectar el potencial peligro de las amenazas internas. Puedes descargarla aquí de forma gratuita.