Kazalo:
Video: 2021 Cybersecurity Trends (Oktober 2024)
Skoraj vse največje kršitve podatkov, ki zadevajo vladna in zasebna podjetja, se zgodijo, ko nekdo ukrade varnostne poverilnice pooblaščenega uporabnika in nato te poverilnice uporabi za krajo podatkov. Pri nedavnih kršitvah, kot so Target, Sony in Urad za upravljanje osebja, so sistemi za odkrivanje vdorov (IDS), nameščeni v teh podjetjih, videli napad, vendar ga žal ni nihče opazil. Obveščevalna platforma za obveščanje uporabnikov Exabeam (ki se začne s 25.000 dolarjev) je zasnovana za zbiranje informacij iz različnih virov, vključno z Active Directory (AD) ter programsko opremo in napravami za varnostne informacije in upravljanje dogodkov (SIEM) ter poroča o sumljivem vedenju v pravočasno.
Exabeam, ki se lahko dobavi kot fizični ali virtualni aparat, deluje tako, da pregleda zgodovino dogodkov vaše organizacije, da ugotovi, kaj je normalno, in nato preuči dogodke, ki odstopajo od običajnih. Exabeam ima tudi ceno naročnine, ki se razlikujejo glede na število nadzorovanih uporabnikov in naprav. Če se ta funkcionalnost sliši specializirana, je to tako. Exabeam je odlična programska oprema, vendar bi morala biti le ena sestavina dobro opremljenega omrezja z omrežnimi varnostnimi orodji skupaj z drugimi orodji, kot sta GFI LanGuard in Viewfinity.
Nastavitev
Za ta pregled sem preizkusil Exabeam v1.7 na resničnih, vendar anonimiziranih korporativnih podatkih v oblačnem okolju. Uporaba resničnih podatkov o zaposlenih bi bila bolj resnična, vendar bi verjetno kršila številne zvezne zakone. Prav tako Exabeam običajno deluje na napravi v korporacijskem podatkovnem centru, vendar je v tem primeru praktičnost narekovala drugačen pristop.
Ko sem začel teči, je Exabeam uspel hitro opraviti analizo. Točno, kako hitro bo delovalo, je odvisno od številnih spremenljivk, vključno z velikostjo vaše organizacije in njenim številom sredstev, toda Exabeam je dejal, da je običajni čas za prvo analizo dva ali tri dni. Vendar pa lahko programska oprema Exabeam skoraj takoj začne vrniti rezultate, če se pojavijo sumljivi dogodki.
Tudi ko se nauči, kaj je v vašem podjetju običajno, lahko Exabeam poišče dogodke, ki očitno niso običajni. Če na primer programska oprema zazna zaposlenega iz oddelka prodaje, ki se prijavi v podatke oddelka za inženiring z več desetimi sočasnimi sejami, je to dober pokazatelj, da je treba nekaj preiskati.
Pravzaprav lahko Exabeam izlušči nekatere subtilne dogodke, ki jih lahko zamudite s pregledom, opravljenim s kakšno drugo metodo. Recimo, na primer zaposleni, ki nikoli ne potuje v korporacijsko omrežje z mesta, ki je znano po številni hekerjih (na primer Rusija ali Ukrajina), in to počne iz računalnika, ki ga še nikoli niso uporabljali. Če bo zaposleni nato začel nalagati veliko količino podatkov, bo Exabeam sejo skoraj takoj označil.
Ni pa treba biti tako očiten. Morda Exabeam opazi resničnega uslužbenca, ki se prijavi iz svojega prenosnega računalnika, vendar ob nenavadnem času ali morda med počitnicami. Nato zabeleži, da zaposleni dostopa do datotek na območju, na katerem ne deluje. Exabeam morda ne bo označil za določenega hekerja, vendar bo opazil nenavadno aktivnost in temu primerno dodal rezultat.
Exabeam deluje tako, da zabeleži vse dejavnosti uporabnikov s pomočjo tega, kar podjetje imenuje državno sledenje uporabnikom, nato pa zbere rezultate skozi čas. Programska oprema nato predstavi seznam vsakega dogodka z razlago in rezultatom. Stran s podatki vključuje referenčne povezave. V enem primeru sumljive seje je Exabeam našel osebo, ki uporablja virtualno zasebno omrežje (VPN), da se prijavi iz Ukrajine in prvič uporabi računalnik, z neznanim ponudnikom internetnih storitev (ISP) in uporabi prej neznanega IP-ja naslov. Nato je Exabeam preučil značilnosti, kot so višina privilegijev in dostop do novih omrežnih con. Z vsem tem plus prispevkom drugih varnostnih naprav je Exabeam razvil povišan rezultat in opozoril varnostno ekipo.
Exabeam se sčasoma nauči tudi vedenja uporabnikov, prepozna zaposlene in druge, ki pogosto potujejo, ter se seznani, do katerih virov in do kdaj. Spremlja, katere vrste sredstev (na primer prenosni ali namizni računalniki) uporablja oseba, in lahko označi dogodke, ko teh računalnikov ne uporablja.
Kot enako pomembno je, da Exabeam lahko označi določene računalnike, za katere se zdi, da imajo nenavadno veliko varnostnih dogodkov, kar morda kaže na to, da jih uporabljajo kot pot skozi zadnja vrata, ki so jih ustvarile prej nekatere zlonamerne programske opreme.
Ker Exabeam spremlja vedenje uporabnikov, lahko najde tudi zaposlene v senci. To so lažni zaposleni, ki so jih hekerji ustvarili morda mesece prej kot način, da za daljše časovno obdobje dostopate do svojega omrežja. Ker pa ti zaposleni nimajo običajne delovne dejavnosti in se namesto tega pojavljajo v omrežju med nenavadnimi urami ali izvajajo nenavadne dejavnosti, bodo označeni tako, da se njihov obstoj potrdi.
Kaj naredi Exabeam tako uporaben
Exabeam je tako uporaben, ker lahko poveže dogodke in dejavnosti in jih nato prikaže, tako da je upravljavcem varnosti očitno, kaj se dogaja, in zakaj je bila oseba ali sredstvo označena. Ker so vsi podatki na voljo v ozadju, lahko podrobno preverite, kaj je določena oseba storila, zaradi česar so bili označeni, in njihove dejavnosti lahko spremljate skozi čas ali v podjetju.
Ker Exabeam spremlja dogodke in ljudi skozi čas, omogoča natančno videti, kdaj se je zgodil sumljiv dogodek, kaj se je zgodilo v tistem trenutku in kateri dogodki so sledili. Opazujete lahko, kako se varnostni dogodek odvija, ko heker prodre v vašo obrambo, in opazujete, kako so spremenili uporabniška imena, povišane privilegije in dostop do podatkov. Prav tako lahko natančno vidite, do katerih podatkov so dostopali.
Za izvajanje programa Exabeam morate napravo priključiti v svoje omrežje ali namestiti v virtualni stroj VMware (VM), kjer lahko nadzira vaš AD in vaš SIEM. Za dostop do teh naprav boste morali navesti osnovne podatke in jih nato pustiti, da se začnejo izvajati. To je vse, kar je tu, vendar bo izplačalo dividende, da bi nekaj časa naučili, kako najbolje izkoristiti podatke, ki jih najde in predstavi.
Potem, ko je Exabeam potreben malo treninga za uporabo. Glede na težave pri iskanju usposobljenega osebja za varnost v IT-ju lahko Exabeam plača sam, če stroške osebja nadzoruje. Vsekakor pa hitro opravi ravni analiz, za katere bi bila potrebna leta intimnega znanja organizacije in njenega osebja. In glede na poplavo podatkov, ki jih pridobiva večina izdelkov SIEM, lahko vidimo dogodke, ki jih sicer ni mogoče najti drugače. Eden od načinov za razmislek o tem je, da če bi Target uporabljal Exabeam, se kršitev morda ne bi nikoli zgodila ali pa bi se ta takoj končala.