Taula de continguts:
Vídeo: 2021 Cybersecurity Trends (Setembre 2024)
Gairebé la majoria dels incompliments de dades que afecten les empreses del govern i les empreses privades es produeixen quan algú roba les credencials de seguretat d’un usuari autoritzat i després utilitza aquestes credencials per robar dades. En violacions recents molt publicitàries com Target, Sony i l'Oficina de Gestió del Personal, els sistemes de detecció d'intrusions (IDS) instal·lats en aquestes empreses van veure que l'atac es va produir, però, malauradament, ningú se'n va adonar. La plataforma d’intel·ligència d’usuaris Exabeam (que comença a partir de 25.000 dòlars) està dissenyada per recopilar informació de diverses fonts diverses, inclòs el Active Directory (AD) i el programari i aparells de seguretat d’informació i gestió d’esdeveniments (SIEM) i informar d’un comportament sospitós en un de manera oportuna.
Exabeam, que es pot lliurar com a dispositiu físic o virtual, funciona examinant l’historial d’esdeveniments de la vostra organització per determinar què és normal i examinant esdeveniments que es desvien de la normalitat. Exabeam també té un cost de subscripció que varia segons el nombre d’usuaris i dispositius monitoritzats. Si aquesta funcionalitat sona especialitzada, és perquè ho és. Exabeam és un gran programari, però només hauria de ser un component d’una caixa d’eines de seguretat de xarxa ben equipada juntament amb altres eines com GFI LanGuard i Viewfinity.
Instal·lació
Per a aquesta revisió, vaig provar Exabeam v1.7 amb dades corporatives reals però anonimades en un entorn de núvol. L'ús de dades reals d'empleats hauria estat més realista, però probablement hauria infringit diverses lleis federals. Així mateix, Exabeam normalment s’executa en un dispositiu al centre de dades corporatiu, però, en aquest cas, la pràctica va dictar un enfocament diferent.
Una vegada que vaig començar la carrera, Exabeam va poder realitzar una anàlisi ràpidament. La rapidesa amb què funcionarà depèn de diverses variables, inclosa la mida de l’organització i el nombre d’actius, però Exabeam va dir que el temps habitual per a la primera anàlisi és de dos o tres dies. Tot i això, el programari Exabeam pot començar a retornar resultats gairebé immediatament si apareixen esdeveniments sospitosos.
Tot i que està aprenent què és normal a la vostra empresa, Exabeam és capaç de trobar esdeveniments que clarament no són normals. Per exemple, si el programari detecta un empleat del departament de vendes que es connecta a les dades del departament d'enginyeria amb diverses dotzenes de sessions simultànies, això és una bona indicació que alguna cosa necessita investigar.
De fet, Exabeam pot esbrinar alguns esdeveniments subtils que poden faltar per un examen fet per algun altre mètode. Suposem, per exemple, que un empleat que no viatja mai s’inicia a la xarxa corporativa des d’una ubicació coneguda per una alta població de pirates informàtics (com Rússia o Ucraïna) i ho fa des d’un ordinador que mai abans havien utilitzat. Si l’empleat comença a descarregar una gran quantitat de dades, Exabeam marcarà la sessió gairebé a l’instant.
Però no ha de ser tan evident. Potser Exabeam s’adona d’un treballador real iniciant la sessió des del portàtil corporatiu però a una hora inusual del dia o potser mentre està de vacances. A continuació, registra aquell empleat que accedeix a fitxers en una zona on no treballen. Exabeam pot no marcar-ho com un hacker determinat, però es donarà compte de l'activitat inusual i la puntuarà en conseqüència.
Exabeam funciona marcant tota l’activitat dels usuaris mitjançant el que l’empresa anomena Seguiment d’Usuaris Estatal i després acumula les puntuacions amb el pas del temps. Aleshores, el programari presenta una llista de cada esdeveniment amb una explicació i la puntuació. La pàgina amb les dades inclou enllaços de referència. En un exemple de sessió sospitosa, Exabeam va trobar una persona que utilitzava una xarxa privada virtual (VPN) per iniciar sessió des d’Ucraïna, utilitzant un ordinador per primera vegada, amb un proveïdor de serveis d’Internet desconegut (ISP) i utilitzant una IP prèviament desconeguda. adreça. A continuació, Exabeam va examinar característiques com ara l’elevació de privilegis i l’accés a noves zones de xarxa. Amb tot aquest aport més d'altres dispositius de seguretat, Exabeam va desenvolupar una puntuació elevada i va alertar l'equip de seguretat.
Exabeam també aprèn el comportament dels usuaris amb el pas del temps, identifica els empleats i els altres que viatgen amb freqüència i aprèn quins recursos accedeixen i quan. Fa un seguiment de quins tipus d’actius (com ordinadors portàtils o d’escriptori) que utilitza una persona i pot marcar esdeveniments quan no utilitza aquests equips.
Potser tan important, Exabeam pot marcar ordinadors específics que semblen tenir un nombre inusualment elevat d’esdeveniments de seguretat, potser indicant que s’utilitzen com a ruta a través d’una porta posterior creada anteriorment per algun programari maliciós.
Com que Exabeam supervisa el comportament dels usuaris, també és capaç de trobar empleats d'ombra. Es tracta de falsos empleats creats per pirates informàtics potser mesos abans com a manera de donar accés a la vostra xarxa durant un llarg període de temps. Però, com que aquests empleats no tenen una activitat laboral normal i, en canvi, apareixen a la xarxa durant hores inusuals o realitzen activitats inusuals, seran marcats per confirmar la seva existència.
El que fa que Exabeam sigui útil
Exabeam és tan útil perquè és capaç de correlacionar esdeveniments i activitats i després mostrar-les de manera que és evident per als gestors de seguretat què passa i per què la persona o l’actiu es va marcar. Com que totes les dades estan disponibles en segon pla, podeu recórrer per veure què feia una persona en concret que va fer que l'indicessin i podreu seguir les seves activitats amb el pas del temps o a través de l'empresa.
Com que Exabeam segueix esdeveniments i persones a través del temps, és possible veure exactament quan es va produir un esdeveniment sospitós, què va passar en aquell moment i quins esdeveniments van succeir. Podeu veure un esdeveniment de seguretat desplegant-se a mesura que el pirata informàtic penetra a les vostres defenses i veure com van canviar els noms d’usuaris, privilegis elevats i accedir a les dades. També podeu veure exactament quines dades van accedir.
Per implementar Exabeam cal que connecteu l’aparell a la vostra xarxa o bé que instal·leu en una màquina virtual VMware (VM) on pugui supervisar el vostre AD i el vostre SIEM. Haureu de proporcionar informació bàsica per accedir a aquests dispositius i deixar-lo funcionar. Hi ha tot el que hi ha, però pagarà dividends per passar una estona aprenent a aprofitar al màxim les dades que troba i presenta.
Una vegada que funciona, Exabeam requereix poc entrenament per al seu ús. Tenint en compte la dificultat de trobar personal de seguretat informàtic format, Exabeam pot pagar per si mateix el control dels costos del personal. En qualsevol cas, realitza ràpidament nivells d’anàlisi que necessitarien anys d’aprenentatge del coneixement íntim de l’organització i el seu personal. I, tenint en compte la inundació de dades produïdes per la majoria de productes SIEM, es poden veure esdeveniments que d’altra manera és impossible trobar cap altra manera. Una forma de pensar-ho és que si Target hagués estat utilitzant Exabeam, la violació mai no hauria passat o, si ho hagués tingut, hauria acabat immediatament.
