Indholdsfortegnelse:
Video: 2021 Cybersecurity Trends (Oktober 2024)
Næsten alle de største dataovertrædelser, der berører statslige og private virksomheder, sker, når nogen stjæler sikkerhedsoplysningerne for en autoriseret bruger og derefter bruger disse legitimationsoplysninger til at stjæle data. I meget publicerede nylige overtrædelser som Target, Sony og Office of Staff Management, så de indtrængende detektionssystemer (IDS), der blev installeret på disse virksomheder, angrebet ske, men desværre var det ingen, der bemærkede det. Exabeam-brugeradfærd-intelligensplatformen (som begynder ved $ 25.000) er designet til at indsamle information fra en række forskellige kilder, herunder Active Directory (AD) og din SIEM-software og -apparater til sikkerhedsinformation og begivenhedsstyring og rapportere mistænkelig opførsel i en rettidig mode.
Exabeamet, der kan leveres enten som et fysisk eller virtuelt apparat, fungerer ved at undersøge din organisations begivenhedshistorik for at bestemme, hvad der er normalt, og derefter undersøge begivenheder, der afviger fra det normale. Exabeam har også et abonnementsomkostninger, der varierer afhængigt af antallet af overvågede brugere og enheder. Hvis denne funktionalitet lyder specialiseret, er det fordi den er. Exabeam er fantastisk software, men det skal kun være en komponent i en veludstyret netværkssikkerhedsværktøjskasse sammen med andre værktøjer som GFI LanGuard og Viewfinity.
Kom i gang
Til denne gennemgang testede jeg Exabeam v1.7 mod reelle, men anonymiserede virksomhedsdata i et skymiljø. Brug af rigtige medarbejderdata ville have været mere realistisk, men ville sandsynligvis have overtrådt en række føderale love. Ligeledes køres Exabeam normalt på et apparat i virksomhedens datacenter, men i dette tilfælde dikterede praktiske forhold en anden tilgang.
Da jeg startede løbet, var Exabeam i stand til hurtigt at udføre en analyse. Præcis hvor hurtigt det vil arbejde afhænger af et antal variabler, herunder størrelsen på din organisation og dens antal aktiver, men Exabeam sagde, at den sædvanlige tid til den første analyse er to eller tre dage. Exabeam-softwaren kan dog begynde at returnere resultater næsten øjeblikkeligt, hvis mistænkelige begivenheder dukker op.
Selv mens det lærer, hvad der er normalt i din virksomhed, er Exabeam i stand til at finde begivenheder, der tydeligvis ikke er normale. For eksempel, hvis softwaren registrerer en medarbejder fra salgsafdelingen, der logger ind på ingeniørafdelingens data med flere dusin samtidige sessioner, er det en god indikation af, at noget skal undersøges.
Faktisk kan Exabeam snude nogle subtile begivenheder, der måske er gået glip af ved en undersøgelse udført på en anden måde. Lad os sige, for eksempel, at en medarbejder, der aldrig rejser, logger ind på virksomhedsnetværket fra et sted, der er kendt for en stor befolkning af hackere (såsom Rusland eller Ukraine) og gør det fra en computer, de aldrig har brugt før. Hvis medarbejderen derefter starter med at downloade en stor mængde data, markerer Exabeam sessionen næsten øjeblikkeligt.
Men det behøver ikke at være så indlysende. Måske bemærker Exabeam, at en reel medarbejder logger ind fra deres firmabærbar computer, men på et usædvanligt tidspunkt på dagen eller måske mens de er på ferie. Derefter registreres, at medarbejderne får adgang til filer i et område, hvor de ikke fungerer. Exabeam markerer muligvis ikke det som en bestemt hacker, men det vil bemærke den usædvanlige aktivitet og score den i overensstemmelse hermed.
Exabeam fungerer ved at score al brugeraktivitet gennem det, som virksomheden kalder Stateful User Tracking og akkumulerer derefter scorerne over tid. Softwaren præsenterer derefter en liste over hver begivenhed med en forklaring og score. Siden med dataene indeholder referencelink. I et eksempel på en mistænkelig session fandt Exabeam en person, der bruger et virtuelt privat netværk (VPN) til at logge ind fra Ukraine, ved hjælp af en computer for første gang, med en ukendt internetudbyder (ISP) og bruge en tidligere ukendt IP adresse. Derefter undersøgte Exabeam karakteristika som f.eks. En forhøjelse af privilegier og adgang til nye netværkszoner. Med alt dette plus input fra andre sikkerhedsenheder udviklede Exabeam en forhøjet score og advarede sikkerhedsteamet.
Exabeam lærer også brugeradfærd over tid, identificerer medarbejdere og andre, der ofte rejser, og lærer hvilke ressourcer de får adgang til, og hvornår. Det holder styr på, hvilke typer aktiver (f.eks. Bærbare eller stationære computere), som en person bruger, og det kan markere begivenheder, når de ikke bruger disse computere.
Måske lige så vigtigt kan Exabeam markere specifikke computere, der ser ud til at have et usædvanligt stort antal sikkerhedsbegivenheder, måske som indikation af, at de bruges som en sti gennem en bagdør oprettet tidligere af nogle malware.
Da Exabeam overvåger brugeradfærd, er det også i stand til at finde skyggemedarbejdere. Dette er falske medarbejdere oprettet af hackere måske måneder tidligere som en måde at give adgang til dit netværk i en lang periode. Men fordi disse ansatte ikke har normal arbejdsaktivitet og i stedet vises på netværket i usædvanlige timer eller udfører usædvanlige aktiviteter, vil de blive markeret, så deres eksistens kan bekræftes.
Hvad der gør Exabeam så nyttigt
Exabeam er så nyttigt, fordi det er i stand til at korrelere begivenheder og aktiviteter og derefter vise dem, så det er åbenlyst for sikkerhedsadministratorer, hvad der foregår, og hvorfor personen eller aktivet blev markeret. Da alle data er tilgængelige i baggrunden, kan du bore ned for at se, hvad en bestemt person gjorde, der fik dem til at blive markeret, og du kan følge deres aktiviteter over tid eller gennem virksomheden.
Fordi Exabeam følger begivenheder og mennesker gennem tiden, gør det det muligt at se nøjagtigt, hvornår en mistænkelig begivenhed opstod, hvad der skete i det øjeblik, og hvilke begivenheder, der fulgte. Du kan se en sikkerhedsbegivenhed, der udfolder sig, når hacker trænger ind i dine forsvar, og se, hvordan de ændrede brugernavne, forhøjede privilegier og adgang til data. Du kan også se nøjagtigt, hvilke data de har adgang til.
Implementering af Exabeam kræver, at du enten tilslutter apparatet til dit netværk eller installerer i en VMware virtual machine (VM), hvor det kan overvåge din AD og dit SIEM. Du bliver nødt til at give grundlæggende oplysninger for adgang til disse enheder og derefter lade dem køre. Det er alt, hvad der er dertil, men det vil betale udbytte at bruge lidt tid på at lære, hvordan man bedst kan udnytte de data, de finder og præsenterer.
Når først den er i gang, kræver Exabeam lidt træning til brug. I betragtning af vanskelighederne med at finde uddannet it-sikkerhedspersonale kan Exabeam muligvis betale for sig selv for at holde personaleomkostningerne under kontrol. Under alle omstændigheder udfører den hurtigt niveauer af analyse, som det vil tage mange års intim viden om organisationen og dens personale at lære. Og i betragtning af oversvømmelsen af data, der er produceret af de fleste SIEM-produkter, kan den se begivenheder, der ellers er umulige at finde nogen anden måde. En måde at tænke over dette på er, hvis Target havde brugt Exabeam, overtrædelsen måske aldrig var sket, eller hvis det havde gjort det, ville det straks være afsluttet.
