El análisis del comportamiento se vuelve más complicado

El análisis de comportamiento es uno de los mejores métodos de autenticación, especialmente cuando forma parte de la autenticación continua. La autenticación como "uno y listo" es algo que simplemente ya no debería suceder. Nuevamente, argumenté lo mismo sobre el uso de SMS sin cifrar como una forma de autenticación de múltiples factores y, lamentablemente, todavía veo que muchas compañías Fortune 1000 lo usan.

No importa.

Aunque la mayoría de los CISO corporativos aceptan el análisis de comportamiento en papel (¿en una pizarra? ¿Como un mensaje en Microsoft Teams/GoogleMeet/Zoom?), se resisten a una implementación rápida y generalizada, ya que requiere la creación de un perfil para cada usuario, incluidos socios, distribuidores , proveedores, grandes clientes y cualquier otra persona que necesite acceder al sistema. Estos perfiles pueden tardar más de un mes en crearse para obtener una imagen precisa y consistente de cada persona.

Odio empeorar esto aún más, pero ahora hay argumentos de que los administradores de seguridad no necesitan un perfil para cada usuario, sino quizás docenas o más.

¿Por qué? Supongamos que ejecuta a un usuario (de forma transparente para el usuario, por supuesto) a través de una variedad de sesiones de seguimiento y determina todo lo que puede, como la velocidad de escritura, el ángulo en el que el usuario sostiene un dispositivo móvil, la presión utilizada para presionar las teclas, errores tipográficos por 100 palabras, palabras escritas por minuto, etc.

Ahora tiene un perfil de comportamiento de este usuario. Sin embargo, es probable que este perfil se base en el comportamiento típico del usuario durante los días laborales normales. ¿Qué pasa cuando ese usuario está agotado, por ejemplo, después de llegar a la oficina después de un vuelo nocturno? ¿O extáticamente feliz o terriblemente deprimido? ¿Se comportan de manera diferente en una habitación de hotel desconocida que en la comodidad de su oficina en casa? ¿Actúan de manera diferente después de que su jefe les grita durante 10 minutos?

Para que un sistema de aprendizaje automático reconozca verdaderamente al usuario y entregue pocos falsos negativos, debe reconocer con precisión al usuario en una amplia gama de circunstancias diferentes. Esto significa estudiar al usuario durante más tiempo y en tantos entornos/situaciones diferentes como sea posible. Para una empresa con una gran fuerza laboral de seis cifras, esta es una tarea de enormes proporciones.

Scott Edington, director ejecutivo de Deep Labs (una empresa de análisis de comportamiento), dio un ejemplo interesante: "Una persona que visita Nueva York desde el sur de California sale de un restaurante en pleno invierno para llamar a un automóvil. Está afectada por el frío y de repente comienza a escribir en su teléfono de una manera acelerada y más deliberada, porque tiene frío y sus dedos están entumecidos. Este tipo de persona identificada puede diferir de la versión "cálida" de este mismo individuo de esta manera brinda contexto. No son un mal actor o un hacker, incluso si su comportamiento es diferente, son la misma persona, pero solo actúan de una manera diferente y razonable.

El ejemplo de Edington es interesante, pero es difícil encontrar una forma práctica de reproducir esto durante un período normal de análisis. Estas pruebas deben realizarse con una interferencia mínima o nula o incluso con la interacción del usuario para mantener el proceso sin fricciones. (Por supuesto, es poco probable que vea a un usuario haciendo este tipo de actividad al aire libre en climas fríos sin ser invitado, al menos no durante un período de prueba de rutina.

Es un enigma interesante para las empresas que confían en el análisis de comportamiento para mantenerse seguras. Es posible que los CISO simplemente tengan que aceptar un número superior al ideal de falsas alarmas durante un período de prueba inicial. Esto podría significar que los perfiles se vuelven más precisos sin problemas durante un período prolongado (por ejemplo, un año o dos) a medida que ocurren estos comportamientos atípicos.

Esto nos lleva al típico problema del huevo y la gallina. Los primeros días/semanas de una implementación de análisis de comportamiento serán: A, cuando el sistema es menos preciso y desencadena muchas falsas alarmas. Y B, cuando los usuarios y los líderes de LOB deciden si aceptan este enfoque de autenticación o se resisten a él.

Nadie dijo nunca que la ciberseguridad sería fácil.

Derechos de autor © 2022 IDG Communications, Inc.