Читать книгу Inteligencia artificial y defensa. Nuevos horizontes - José Luis Domínguez Alvarez - Страница 42

Cuando lo que se quiere es monitorizar eventos extraños, la definición de extraño es lo que va variando con respecto a usuarios, programas, comunicaciones, etc. Si se asume que se quiere monitorizar a los usuarios para evitar actuaciones peligrosas (conscientes o no de ellas), un sistema de monitorización que perfile la actividad del usuario tiene que vigilar dos vertientes diferentes:

– Lo que es cada usuario, es decir, cada usuario puede acceder a diferentes sistemas debido a su rol, responsabilidad o incluso perfil profesional. Lo que es raro para unos grupos de usuarios es normal para otros (no es lo mismo ver nóminas siendo de RRHH que siendo de marketing).

– Lo que hace cada usuario. Cuando el comportamiento cambia a lo largo de un periodo temporal determinado, aun teniendo permisos puede ser extraño porque se sale de la normalidad. A modo de ejemplo, si se realizan las transferencias de nóminas a finales de mes, pero un usuario con permisos comienza a hacer transferencias a principios y mediados de mes.

La conjunción de “lo que soy” y “lo que hago”, permite disponer de una sesión de trabajo profesional (perfil) de la actividad informática sobre los sistemas, de manera que se pueda realizar un análisis automático del comportamiento del usuario sobre los sistemas (UEBA o User and Entity Behavior Analysis) prácticamente en tiempo real.