Editor Top
El análisis de comportamiento es uno de los mejores métodos de autenticación que existen, especialmente cuando es parte de la autenticación continua. La autenticación como «uno y listo» es algo que simplemente ya no debería suceder. Por otra parte, he argumentado lo mismo sobre el uso de SMS sin cifrar como una forma de autenticación de múltiples factores y, lamentablemente, todavía veo que muchas empresas de Fortune 1000 lo utilizan.
Oh bien.
Aunque la mayoría de los CISO empresariales están bien con el análisis de comportamiento en papel (¿en una pizarra? ¿Como un mensaje dentro de Microsoft Teams/GoogleMeet/Zoom?), son resistentes a la implementación rápida y generalizada porque requiere la creación de un perfil para cada usuario, incluidos los socios, distribuidores, proveedores, grandes clientes y cualquier otra persona que necesite acceso al sistema. Esos perfiles pueden tardar más de un mes en crearse para obtener una imagen precisa y consistente de cada persona.
Odio empeorar esto aún más, pero ahora hay argumentos de que los administradores de seguridad no necesitan una perfil para cada usuario, pero posiblemente docenas o más.
¿Por qué? Supongamos que ejecuta a un usuario (de manera transparente para el usuario, por supuesto) a través de una variedad de sesiones de seguimiento y determina todo lo que puede, como la velocidad de escritura, el ángulo en que el usuario sostiene un dispositivo móvil, la presión utilizada para presionar las teclas, los errores tipográficos por 100 palabras, el número de palabras escritas por minuto, etc.
Ahora tiene un perfil de comportamiento de ese usuario. Sin embargo, es probable que ese perfil se base en el comportamiento habitual del usuario durante los días laborales normales. ¿Qué pasa cuando ese usuario está exhausto, digamos posiblemente después de llegar a la oficina de un vuelo nocturno? ¿O extáticamente feliz o terriblemente deprimido? ¿Se comportan de manera diferente en una habitación de hotel desconocida en comparación con la comodidad de su oficina en casa? ¿Actúan de manera diferente después de que su jefe les haya gritado durante 10 minutos?
Para que cualquier sistema de aprendizaje automático reconozca realmente al usuario y entregue pocos falsos negativos, debe reconocer con precisión al usuario en una amplia gama de circunstancias diferentes. Eso significa estudiar al usuario por más tiempo y en tantos entornos/situaciones diferentes como sea posible. Para una empresa con una gran fuerza laboral de seis cifras, esa es una tarea realmente desalentadora.
Scott Edington, director ejecutivo de Deep Labs (una empresa que se ocupa del análisis del comportamiento), ofreció un ejemplo interesante: «Una persona que visita la ciudad de Nueva York desde el sur de California sale de un restaurante en pleno invierno para llamar a un automóvil. Está impactada. por el clima frío y de repente comienza a escribir en su teléfono de manera acelerada y más deliberada, porque tiene frío y sus dedos están entumecidos. Este tipo de persona que se identifica puede diferir de la versión «cálida» de este mismo individuo. de esta manera proporciona contexto. No es un mal actor o un hacker, aunque su comportamiento sea diferente. Es la misma persona, pero solo actúa de una manera diferente y razonable».
El ejemplo de Edington es interesante, pero es difícil ver una forma práctica de replicarlo durante un período normal de análisis. Esta prueba debe realizarse con una interferencia mínima o nula, o incluso interacción, con los usuarios para mantener el proceso sin fricciones. (Por supuesto, es poco probable que vea a un usuario realizar este tipo de actividad al aire libre en climas fríos sin que se le solicite, al menos no durante un período de prueba de rutina.
Es un enigma interesante para las empresas que confían en el análisis de comportamiento para mantenerse seguras. Puede ser simplemente que los CISO tengan que aceptar una cantidad de alertas falsas superior a la ideal durante un período de prueba inicial. Podría significar que los perfiles se vuelven más precisos sin problemas durante un período prolongado (por ejemplo, un año o dos) a medida que ocurren estos comportamientos atípicos.
Esto nos lleva al típico problema del huevo y la gallina. Los primeros días/semanas de una implementación de análisis de comportamiento serán: A, cuando el sistema es menos preciso y genera muchas alertas falsas. Y B, cuando los usuarios y los jefes de LOB decidirán si aceptarán este enfoque de autenticación o se resistirán a él.
Nadie dijo nunca que la ciberseguridad sería fácil.
Derechos de autor © 2022 IDG Communications, Inc.
