Съдържание:
Видео: 2021 Cybersecurity Trends (Септември 2024)
Почти всички най-големи нарушения на данни, засягащи държавни и частни предприятия, се случват, когато някой открадне идентификационните данни за сигурност на упълномощен потребител и след това използва тези идентификационни данни, за да открадне данни. При много популяризирани наскоро нарушения като Target, Sony и Службата за управление на персонала, системите за откриване на проникване (IDS), инсталирани в тези предприятия, видяха атаката да се случи, но, за съжаление, никой не забеляза. Платформата за разузнаване на потребителите на Exabeam (която започва от $ 25 000) е предназначена за събиране на информация от най-различни източници, включително Active Directory (AD) и вашия софтуер и уреди за информация за сигурност и управление на събития (SIEM) и съобщава за подозрително поведение в навременна мода.
Exabeam, който може да бъде доставен като физически или виртуален уред, работи, като изследва историята на събитията на вашата организация, за да определи какво е нормално и след това изследва събития, които се отклоняват от нормалното. Exabeam също има разходи за абонамент, които варират в зависимост от броя на наблюдаваните потребители и устройства. Ако тази функционалност ви звучи специализирано, това е така. Exabeam е страхотен софтуер, но трябва да бъде само един компонент от добре оборудвана кутия за инструменти за мрежова сигурност заедно с други инструменти като GFI LanGuard и Viewfinity.
Първи настройки
За този преглед тествах Exabeam v1.7 спрямо реални, но анонимни корпоративни данни в облачна среда. Използването на реални данни за служителите би било по-реалистично, но вероятно би нарушило редица федерални закони. По същия начин Exabeam обикновено се работи на уред в корпоративния център за данни, но в този случай практичността диктува различен подход.
След като започнах стартирането, Exabeam успя бързо да извърши анализ. Точно колко бързо ще работи, зависи от редица променливи, включително размера на вашата организация и нейния брой активи, но Exabeam каза, че обичайното време за първия анализ е два или три дни. Софтуерът Exabeam обаче може да започне да връща резултати почти веднага, ако се появят подозрителни събития.
Дори докато научава какво е нормално във вашето предприятие, Exabeam може да намери събития, които очевидно не са нормални. Например, ако софтуерът открие служител от отдела за продажби, който влиза в данните на отдела за инженеринг с няколко десетки едновременни сесии, това е добър показател, че нещо се нуждае от проучване.
Всъщност Exabeam може да издуши някои фини събития, които може да се пропуснат от проверка, извършена по някакъв друг метод. Да речем, например, служител, който никога не пътува влезете в корпоративната мрежа от място, известно на голяма популация от хакери (като Русия или Украйна) и го прави от компютър, който никога не са използвали досега. Ако след това служителят започне да изтегля голямо количество данни, Exabeam ще изпрати сесия почти моментално.
Но не е необходимо да е толкова очевидно. Може би Exabeam забелязва истински служител, който влиза в профила си от корпоративния си лаптоп, но в необичайно време на деня или може би докато са във ваканция. След това той записва служителя, който осъществява достъп до файлове в област, в която не работи. Exabeam може и да не маркира това като определен хакер, но ще забележи необичайната активност и съответно да го отбележи.
Exabeam работи, като оценява цялата активност на потребителите чрез това, което компанията нарича Stateful User Tracking и след това натрупва оценките във времето. След това софтуерът представя списък на всяко събитие с обяснение и резултат. Страницата с данните включва референтни връзки. В един пример на подозрителна сесия Exabeam намери човек, използващ виртуална частна мрежа (VPN), за да влезе от Украйна, използвайки компютър за първи път, с неизвестен доставчик на интернет услуги (ISP) и използвайки неизвестен досега IP адрес. Тогава Exabeam разгледа характеристики като повишаване на привилегиите и достъп до нови мрежови зони. С всичко това плюс принос от други устройства за сигурност, Exabeam разработи повишен резултат и алармира екипа за сигурност.
Exabeam също научава поведението на потребителите във времето, идентифицира служители и други, които често пътуват, и научава до какви ресурси имат достъп и кога. Той следи какви видове активи (като лаптоп или настолни компютри), които човек използва, и може да маркира събития, когато не използва тези компютри.
Може би също толкова важно, Exabeam може да маркира конкретни компютри, които изглежда имат необичайно голям брой събития за сигурност, може би показват, че те се използват като път през задната врата, създадена по-рано от някои злонамерен софтуер.
Тъй като Exabeam следи поведението на потребителите, той също е в състояние да намери служители в сянка. Това са фалшиви служители, създадени от хакери може би месеци по-рано като начин да предоставят достъп до вашата мрежа за дълъг период от време. Но тъй като тези служители нямат нормална работна дейност и вместо това се появяват в мрежата по време на необичайни часове или извършват необичайни дейности, те ще бъдат маркирани така, че тяхното съществуване да може да бъде потвърдено.
Какво прави Exabeam толкова полезен
Exabeam е толкова полезен, защото е в състояние да съпостави събитията и дейностите и след това да ги покаже, така че да е очевидно за мениджърите по сигурността какво се случва и защо лицето или активът са били маркирани. Тъй като всички данни са на разположение на заден план, можете да разгледате подробности какво прави конкретен човек, който е причинил да бъдат маркирани, и можете да проследявате дейностите им във времето или през предприятието.
Тъй като Exabeam следи събитията и хората през времето, той дава възможност да се види точно кога е възникнало подозрително събитие, какво се е случило в този момент и какви събития са последвали. Можете да гледате как се развива събитие за защита, докато хакерът прониква във вашите защити, и да наблюдавате как те променят потребителски имена, повишени привилегии и достъп до данни. Можете също да видите точно до какви данни са имали достъп.
Внедряването на Exabeam изисква или да прикачите уреда към вашата мрежа или да инсталирате във виртуална машина VMware (VM), където той може да наблюдава вашия AD и вашия SIEM. Ще трябва да предоставите основна информация за достъп до тези устройства и след това да я пуснете. Това е всичко, което има, но ще изплати дивиденти, за да прекарате известно време, научавайки се как да използвате най-добре данните, които намира и представя.
След като стартира, Exabeam изисква малко обучение за употреба. Имайки предвид трудността при намирането на обучен персонал за ИТ сигурност, Exabeam може да плаща за себе си, като държи под контрол разходите за персонал. Във всеки случай, той бързо извършва нива на анализ, които биха отнели години на интимни познания на организацията и нейния персонал, за да се научат. И като се има предвид потопа от данни, произвеждани от повечето продукти на SIEM, той може да види събития, които иначе е невъзможно да се намери по друг начин. Един от начините да се мисли за това е, че ако Target е използвал Exabeam, нарушението може никога да не се е случило или, ако е имало, то е щяло веднага да приключи.
