Obsah:
Video: 2021 Cybersecurity Trends (Október 2024)
Takmer všetky najväčšie porušenia údajov ovplyvňujúce štátne a súkromné podniky sa vyskytujú, keď niekto ukradne bezpečnostné poverenia oprávneného používateľa a potom tieto poverenia použije na ukradnutie údajov. Pri veľmi publikovaných nedávnych porušeniach, ako sú Target, Sony a Office of Personnel Management, systémy detekcie narušenia (IDS) nainštalované v týchto podnikoch videli útok, ale útok si, nanešťastie, nikto nevšimol. Spravodajská platforma Exabeam User Behavior Intelligence Platform (ktorá sa začína na 25 000 USD) je navrhnutá na zhromažďovanie informácií z rôznych zdrojov vrátane softvéru Active Directory (AD) a vášho softvéru a zariadení pre správu bezpečnostných informácií a udalostí (SIEM) a hlásenie podozrivého správania v aktuálna móda.
Exabeam, ktorý môže byť dodaný ako fyzické alebo virtuálne zariadenie, pracuje tak, že skúma históriu udalostí vašej organizácie, aby určil, čo je normálne, a potom skúma udalosti, ktoré sa odchyľujú od normálneho stavu. Exabeam má tiež predplatné, ktoré sa líši v závislosti od počtu sledovaných používateľov a zariadení. Ak táto funkcia znie špecializovane, je to preto, že je. Exabeam je vynikajúci softvér, ale mal by byť iba jednou zo súčastí dobre vybavenej skrinky na zabezpečenie siete spolu s ďalšími nástrojmi, ako sú GFI LanGuard a Viewfinity.
Začíname pracovať
Pre túto kontrolu som testoval Exabeam v1.7 na reálnych, ale anonymizovaných podnikových údajoch v cloudovom prostredí. Používanie skutočných údajov o zamestnancoch by bolo realistickejšie, pravdepodobne by však porušilo niekoľko federálnych zákonov. Podobne sa Exabeam bežne prevádzkuje na zariadení v podnikovom dátovom centre, ale v tomto prípade praktickosť diktovala iný prístup.
Akonáhle som spustil beh, Exabeam bol schopný rýchlo vykonať analýzu. Ako rýchlo to bude fungovať, závisí od množstva premenných, vrátane veľkosti vašej organizácie a jej počtu aktív. Exabeam však uviedol, že zvyčajný čas na prvú analýzu sú dva alebo tri dni. Softvér Exabeam však môže začať vracať výsledky takmer okamžite, ak sa objavia podozrivé udalosti.
Aj keď sa Exabeam dozvie, čo je vo vašom podniku bežné, dokáže nájsť udalosti, ktoré zjavne nie sú normálne. Napríklad, ak softvér zistí zamestnanca z oddelenia predaja, ktorý sa prihlasuje k údajom technického oddelenia pomocou niekoľkých desiatok simultánnych relácií, je to dobrý náznak, že niečo treba vyšetriť.
Exabeam v skutočnosti dokáže odhaliť niektoré jemné udalosti, ktoré by mohli vynechať vyšetrenie vykonané inou metódou. Povedzme napríklad, že zamestnanec, ktorý sa nikdy necestuje, prihlási do podnikovej siete z miesta známeho veľkému počtu hackerov (napríklad Rusko alebo Ukrajina), robí tak z počítača, ktorý nikdy predtým nepoužil. Ak zamestnanec začne sťahovať veľké množstvo údajov, Exabeam bude reláciu označovať takmer okamžite.
To však nemusí byť také zrejmé. Možno si Exabeam všimne skutočného zamestnanca, ktorý sa prihlasuje z firemného notebooku, ale v nezvyčajnom čase dňa alebo možno počas dovolenky. Potom zaznamená, že zamestnanec pristupuje k súborom v oblasti, v ktorej nepracuje. Exabeam to nemusí označiť ako istý hacker, ale všimne si neobvyklú aktivitu a podľa toho ju ohodnotí.
Exabeam funguje tak, že hodnotí všetku aktivitu používateľov prostredníctvom toho, čo spoločnosť nazýva Stateful User Tracking (Sledovanie stavu používateľov), a potom priebežne akumuluje skóre. Softvér potom predloží zoznam každej udalosti s vysvetlením a skóre. Stránka s údajmi obsahuje referenčné odkazy. V jednom príklade podozrivej relácie našla spoločnosť Exabeam osobu, ktorá sa používa na virtuálnu súkromnú sieť (VPN) na prihlásenie z Ukrajiny po prvýkrát pomocou počítača, s neznámym poskytovateľom internetových služieb (ISP) a pomocou predtým neznámej IP. adresa. Potom Exabeam preskúmal charakteristiky, ako je napríklad zvýšenie privilégií a prístup k novým sieťovým zónam. So všetkým tým plus vstupom z iných bezpečnostných zariadení vyvinula Exabeam zvýšené skóre a upozornila bezpečnostný tím.
Exabeam sa tiež učí správanie používateľov v priebehu času, identifikuje zamestnancov a ostatných, ktorí často cestujú, a dozvedie sa, aké zdroje majú prístup a kedy. Sleduje, aké typy aktív (napríklad prenosné alebo stolové počítače), ktoré osoba používa, a môže označiť udalosti, keď tieto počítače nepoužíva.
Možno rovnako dôležité je, že spoločnosť Exabeam môže označiť konkrétne počítače, ktoré, ako sa zdá, majú neobvykle vysoký počet bezpečnostných udalostí, možno naznačujú, že sa používajú ako cesta cez zadné dvere vytvorené skôr nejakým škodlivým softvérom.
Pretože Exabeam monitoruje správanie používateľov, je tiež schopný nájsť tieňových zamestnancov. Ide o falošných zamestnancov, ktorých hackeri vytvorili asi o mesiac skôr, aby im umožnili prístup do vašej siete na dlhú dobu. Ale pretože títo zamestnanci nemajú normálnu pracovnú činnosť a namiesto toho sa objavia na sieti počas neobvyklých hodín alebo vykonávajú neobvyklé činnosti, budú označení, aby sa mohla potvrdiť ich existencia.
Čo robí Exabeam tak užitočným
Exabeam je tak užitočný, pretože dokáže korelovať udalosti a činnosti a potom ich zobraziť, aby správcom bezpečnosti bolo zrejmé, čo sa deje a prečo bola osoba alebo majetok označená. Pretože všetky údaje sú k dispozícii na pozadí, môžete sa podrobne pozrieť, čo konkrétna osoba robila, čo ich spôsobilo označiť, a môžete sledovať ich činnosti v čase alebo v podniku.
Pretože Exabeam časom sleduje udalosti a ľudí, umožňuje presne zistiť, kedy sa vyskytla podozrivá udalosť, čo sa v tom okamihu stalo a aké udalosti nasledovali. Môžete sledovať vývoj bezpečnostnej udalosti, keď hacker preniká do vašej obrany, a sledovať, ako zmenili používateľské mená, zvýšené oprávnenia a prístupové údaje. Môžete tiež presne vidieť, aké údaje získali.
Implementácia Exabeam vyžaduje, aby ste buď pripojili zariadenie k sieti alebo nainštalovali do virtuálneho počítača VMware (VM), kde môže monitorovať vašu AD a vašu SIEM. Pre prístup k týmto zariadeniam budete musieť poskytnúť základné informácie a nechať ich bežať. To je všetko, čo sa týka toho, ale vyplatí sa dividendám, aby strávili nejaký čas učením sa, ako čo najlepšie využiť údaje, ktoré zistili a prezentovali.
Akonáhle je to v prevádzke, Exabeam vyžaduje trochu zaškolenia na použitie. Vzhľadom na ťažkosti pri hľadaní vyškolených zamestnancov v oblasti IT bezpečnosti sa Exabeam môže zaplatiť za to, že bude udržiavať náklady na zamestnancov pod kontrolou. V každom prípade rýchlo vykonáva také úrovne analýzy, ktoré by si roky vyžadovali dokonalé znalosti organizácie a jej zamestnancov. A vzhľadom na záplavu údajov produkovaných väčšinou produktov SIEM sa môžu vyskytnúť udalosti, ktoré by inak nebolo možné nájsť iným spôsobom. Jedným zo spôsobov, ako o tom premýšľať, je, že ak by spoločnosť Target používala spoločnosť Exabeam, porušenie by sa nikdy nestalo alebo by sa okamžite skončilo.
