Esta es la predicción que hace Avivah Litan, analista de Gartner, en su última entrada de blog, La desaparición del mercado UEBA. Por supuesto, llamó nuestra atención aquí en Vectra. No somos una empresa independiente de análisis del comportamiento de las entidades usuarias (UEBA), ni queremos serlo. Ante todo, somos una empresa de IA que ayuda a los cazadores de amenazas. Pero a menudo nos encontramos en esta discusión con personas que creen que UEBA por sí solo va a resolver los problemas del mundo (y posiblemente hacer café por la mañana, también).
Hablando en serio, resulta confuso intentar comprender los matices de la tecnología cuando el objetivo final es siempre el mismo. El objetivo de Vectra es cazar amenazas. Lo mismo se aplica a UEBA, pero con un giro: en pocas palabras, identifica a los usuarios que actúan de forma diferente.
Ahí radica el problema. UEBA asume que todo comportamiento anómalo es malo, lo que todo el mundo sabe que no es cierto. En lugar de limitarse a detectar comportamientos extraños, es mucho más importante detectar la gravedad de las amenazas reales para los activos clave con el mayor grado de certeza.
En el fondo, esta es la diferencia entre los modelos de anomalías simples y los modelos de comportamiento de atacantes más vitales en los que se centra Vectra . Las anomalías específicas que se buscan y cómo se combinan con la heurística y otras técnicas son fundamentales.
La combinación adecuada de ambos le permite concentrarse en los comportamientos reveladores de amenazas que ponen al descubierto a los ciberatacantes reales, en lugar de obligarle a averiguar manualmente si simples rarezas podrían conducir a algo más grave.
Litan, de Gartner, continúa diciendo que los proveedores de UEBA serán absorbidos por el mercado de gestión de información de eventos de seguridad (SIEM). Según mis propias observaciones, este cambio tiene mucho sentido: UEBA aprovecha los registros para el análisis, lo que ya ocurre en los SIEM.
Mediante el uso de inteligencia artificial que proporciona caza automatizada de amenazas en tiempo real, Vectra detecta comportamientos de ataque dentro de las redes y los prioriza con puntuaciones de amenaza y certeza.
Esta información crítica de Vectra se introduce fácilmente en las soluciones UEBA, de detección y respuesta de puntos finales, NAC y cortafuegos, lo que automatiza las capacidades de detección y respuesta en tiempo real.
Vectra aboga por un enfoque arquitectónico para lograr esta integración del ecosistema. En este blog se explica cómo encajamos en la arquitectura de seguridad adaptativa de Gartner y se ofrece orientación sobre cómo trazar su ecosistema e integrar herramientas y sistemas de seguridad dispares, incluidos los SIEM.