Detección de comportamientos de usuarios maliciosos dentro y entre aplicaciones

Históricamente, las organizaciones empresariales no han monitoreado suficientemente las actividades de sus empleados dentro de las aplicaciones comerciales internas. Estaban esencialmente (y ciegamente) confiando en sus empleados. Desafortunadamente, esta confianza ha causado graves daños comerciales debido a las acciones de algunos infiltrados malintencionados.

El monitoreo es difícil cuando las soluciones existentes para detectar actividades maliciosas en aplicaciones comerciales se basan principalmente en reglas que deben escribirse y mantenerse por separado para cada aplicación. Esto se debe a que cada aplicación tiene un conjunto personalizado de actividades y formatos de registro. Las soluciones de detección basadas en reglas también generan muchos falsos positivos (es decir, falsas alertas) y falsos negativos (es decir, actividades maliciosas que no se detectan).

La detección debe ser independiente del significado de las actividades de una aplicación para que pueda aplicarse a cualquier aplicación empresarial.

La solución a este desafío radica en analizar secuencias de actividades en lugar de analizar cada actividad por separado. Esto significa que debemos analizar los recorridos de los usuarios (es decir, las sesiones) para monitorear a los usuarios autenticados en las aplicaciones comerciales. A motor de detección aprende todos los viajes típicos de cada usuario o cohorte y los utiliza para detectar un viaje que se desvía de los viajes típicos.

Los dos desafíos principales que debe abordar un motor de detección son:

1. Cada aplicación tiene un conjunto diferente de actividades y formato de registro.
2. Necesitamos aprender con precisión los viajes típicos de los usuarios en cada aplicación y entre aplicaciones.

Estandarización del modelo de detección

Para aplicar un modelo de detección a cualquier registro de capa de aplicación, podemos extraer de cada viaje las siguientes tres características basadas en secuencias (es decir, características):

1. El conjunto de actividades, cada una indicada por códigos numéricos.
2. El orden en que se realizaron las actividades en la sesión.
3. Intervalos de tiempo entre actividades durante la sesión.

Estas tres características se pueden aplicar a cualquier sesión de aplicación, e incluso a sesiones entre aplicaciones.

La siguiente figura ilustra las tres características de un viaje de usuario basado en cinco actividades, cada una indicada por un número, ya que la actividad es un código numérico desde la perspectiva del modelo.

Aprendizaje de los viajes típicos de los usuarios a través de las aplicaciones

Como se explicó anteriormente, la detección de viajes anormales se basa en el aprendizaje todos viajes típicos de los usuarios. La tecnología de agrupamiento agrupa puntos de datos similares para conocer estos viajes de usuario y generar un viaje de usuario típico para cada grupo de viajes similares. Este proceso se ejecuta continuamente a medida que hay nuevos datos de registro disponibles.

Una vez que el sistema aprende los viajes típicos del usuario, la solución de detección puede verificar cada nuevo viaje para ver si es similar a uno aprendido anteriormente. Si el viaje actual no se parece a las sesiones anteriores, la solución lo marca como una anomalía. También es posible comparar el viaje actual con los viajes asociados con el grupo al que pertenece el usuario.

Una solución de detección debe basarse en un motor de agrupamiento extremadamente preciso diseñado para el agrupamiento de secuencias, sin dejar de ser casi lineal en la cantidad de viajes que agrupa y sin requerir un conocimiento previo sobre cuántos agrupamientos generar. Además, tiene que detectar valores atípicos, eliminarlos del conjunto de datos para mejorar la precisión de la agrupación e identificar estos valores atípicos como anomalías. Así es como el motor de agrupamiento que genera grupos de viajes de usuarios similares también puede detectar viajes de usuarios anormales en datos históricos y reportarlos como anomalías.