Seguridad basada en el comportamiento
La seguridad basada en el comportamiento es un enfoque proactivo de la seguridad en el que se supervisa toda la actividad relevante para que las desviaciones de los patrones de comportamiento normales puedan identificarse y tratarse rápidamente. A medida que el aprendizaje automático continúa mejorando, se espera que este enfoque de la gestión de la seguridad desempeñe un papel importante en la protección de la informática en el borde de la red.
El software de seguridad tradicional está orientado a firmas: el software monitorea los flujos de datos y compara los datos en tránsito con las firmas en la biblioteca de amenazas conocidas de un proveedor de antivirus. Los programas de seguridad basados en el comportamiento funcionan de manera un poco diferente: también monitorean los flujos de datos, pero luego comparan la actividad del flujo de datos con una línea de base del comportamiento normal y buscan anomalías. Los productos de seguridad basados en el comportamiento utilizan matemáticas aplicadas y aprendizaje automático para marcar eventos que son estadísticamente significativos.
Si bien aún puede haber casos en los que una organización deba elegir entre software de seguridad basado en firmas y basado en anomalías, existe una amplia gama de productos de prevención y detección de intrusiones que combinan ambos enfoques.
Ventajas de la seguridad basada en el comportamiento
En general, las herramientas basadas en firmas son las mejores para identificar y repeler las amenazas conocidas, mientras que las basadas en el comportamiento son las mejores para combatir los exploits de día cero que aún no se han incluido en una lista de firmas de amenazas conocidas. La mayoría de los programas de seguridad basados en el comportamiento vienen con un conjunto estándar de políticas para determinar cuáles comportamientos deben permitirse y cuáles deben considerarse sospechosos, pero también permiten a los administradores personalizar políticas y crear nuevas políticas.
Software de seguridad basada en comportamiento
Dependiendo de sus capacidades, un producto de software de seguridad basado en el comportamiento puede comercializarse como un producto de detección de anomalías en el comportamiento de la red (NBAD), un producto de detección de intrusiones basado en el comportamiento, un producto de análisis de amenazas del comportamiento (BTA) o un producto de análisis del comportamiento del usuario (UBA). Algunos productos de seguridad del comportamiento son lo suficientemente sofisticados como para aplicar algoritmos de aprendizaje automático a los flujos de datos para que los analistas de seguridad no necesiten identificar qué comprende el comportamiento normal. Otros productos incluyen características biométricas del comportamiento que son capaces de mapear un comportamiento específico, como patrones de escritura, al comportamiento específico del usuario. La mayoría de los productos tienen motores de correlación sofisticados para minimizar la cantidad de alertas y falsos positivos.