Innholdsfortegnelse:
Video: 2021 Cybersecurity Trends (Oktober 2024)
Nesten alle de største datainnbruddene som påvirker offentlige og private virksomheter skjer når noen stjeler sikkerhetsopplysningene til en autorisert bruker og deretter bruker disse opplysningene for å stjele data. I mye publiserte nylige brudd som Target, Sony og Office of Personal Management, så inntrengingsdeteksjonssystemene (IDS) installert på disse bedriftene så angrepet skje, men dessverre var det ingen som la merke til det. Exabeam User Behaviour Intelligence Platform (som begynner på $ 25 000) er designet for å samle informasjon fra en rekke forskjellige kilder, inkludert Active Directory (AD) og sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) programvare og apparater, og rapportere mistenkelig oppførsel i en betimelig mote.
Exabeam, som kan leveres enten som et fysisk eller virtuelt apparat, fungerer ved å undersøke organisasjonens hendelseshistorikk for å finne ut hva som er normalt og deretter undersøke hendelser som avviker fra det normale. Exabeam har også en abonnementskostnad som varierer i henhold til antall overvåkede brukere og enheter. Hvis denne funksjonaliteten høres spesiell ut, er det fordi den er det. Exabeam er flott programvare, men det bør bare være en komponent i en velutstyrt nettverkssikkerhetsverktøykasse sammen med andre verktøy som GFI LanGuard og Viewfinity.
Komme opp
For denne gjennomgangen testet jeg Exabeam v1.7 mot ekte, men anonymiserte bedriftsdata i et skymiljø. Å bruke ekte ansattdata ville vært mer realistisk, men sannsynligvis ville ha brutt en rekke føderale lover. På samme måte kjøres Exabeam normalt på et apparat i bedriftens datasenter, men i dette tilfellet dikterte praktiske forhold en annen tilnærming.
Når jeg startet løpet, kunne Exabeam raskt utføre en analyse. Hvor raskt det vil fungere, avhenger av en rekke variabler, inkludert organisasjonens størrelse og antall eiendeler, men Exabeam sa at den vanlige tiden for den første analysen er to eller tre dager. Imidlertid kan Exabeam-programvaren begynne å returnere resultater nesten umiddelbart hvis mistenkelige hendelser dukker opp.
Selv mens det lærer hva som er normalt i bedriften, kan Exabeam finne hendelser som helt klart ikke er normale. Hvis programvaren for eksempel oppdager en ansatt fra salgsavdelingen som logger seg på ingeniøravdelingens data med flere dusin samtidige økter, er det en god indikasjon på at noe må utredes.
Faktisk kan Exabeam snuse ut noen subtile hendelser som kan gå glipp av en undersøkelse utført på annen måte. La oss for eksempel si en ansatt som aldri reiser logger inn på bedriftsnettverket fra et sted som er kjent for en høy befolkning av hackere (som Russland eller Ukraina) og gjør det fra en datamaskin de aldri har brukt før. Hvis den ansatte deretter begynner å laste ned en stor mengde data, vil Exabeam flagge økten nesten umiddelbart.
Men det trenger ikke å være så opplagt. Kanskje merker Exabeam at en ekte ansatt logger seg på fra sin bærbare PC, men på et uvanlig tidspunkt på dagen eller kanskje mens de er på ferie. Deretter registreres det at ansatte får tilgang til filer i et område der de ikke jobber. Exabeam flagger kanskje ikke det som en viss hacker, men det vil merke den uvanlige aktiviteten og score den deretter.
Exabeam fungerer ved å score all brukeraktivitet gjennom det selskapet kaller Stateful User Tracking og akkumulerer deretter score over tid. Programvaren presenterer deretter en liste over hver hendelse med en forklaring og poengsum. Siden med dataene inneholder referanselinker. I et eksempel på en mistenkelig økt fant Exabeam en person som bruker et virtuelt privat nettverk (VPN) for å logge inn fra Ukraina, ved å bruke en datamaskin for første gang, med en ukjent Internett-leverandør (ISP) og bruke en tidligere ukjent IP adresse. Deretter undersøkte Exabeam funksjoner som privilegiumheving og tilgang til nye nettverkssoner. Med alt dette pluss innspill fra andre sikkerhetsenheter, utviklet Exabeam en forhøyet poengsum og varslet sikkerhetsteamet.
Exabeam lærer også brukeratferd over tid, identifiserer ansatte og andre som ofte reiser, og lærer hvilke ressurser de får tilgang til og når. Den holder oversikt over hvilke typer eiendeler (for eksempel bærbare eller stasjonære datamaskiner) som en person bruker, og den kan flagge hendelser når de ikke bruker disse datamaskinene.
Kanskje like viktig er det at Exabeam kan flagge spesifikke datamaskiner som ser ut til å ha et uvanlig høyt antall sikkerhetshendelser, og kanskje indikerer at de blir brukt som en bane gjennom en bakdør opprettet tidligere av noe skadelig programvare.
Fordi Exabeam overvåker brukeratferd, er det også i stand til å finne skygge-ansatte. Dette er falske ansatte opprettet av hackere kanskje måneder tidligere som en måte å gi tilgang til nettverket ditt over lengre tid. Men fordi de ansatte ikke har normal arbeidsaktivitet og i stedet vises på nettverket i uvanlige timer eller utfører uvanlige aktiviteter, vil de bli flagget slik at deres eksistens kan bekreftes.
Hva gjør Exabeam så nyttig
Exabeam er så nyttig fordi det er i stand til å korrelere hendelser og aktiviteter og deretter vise dem slik at det er åpenbart for sikkerhetsansvarlige hva som skjer, og hvorfor personen eller eiendelen ble flagget. Fordi alle dataene er tilgjengelige i bakgrunnen, kan du bore ned for å se hva en spesifikk person gjorde som gjorde at de ble flagget, og du kan følge aktivitetene deres over tid eller gjennom bedriften.
Fordi Exabeam følger hendelser og mennesker gjennom tid, gjør det det mulig å se nøyaktig når en mistenkelig hendelse skjedde, hva som skjedde i det øyeblikket og hvilke hendelser som fulgte. Du kan se en sikkerhetshendelse utfolde seg når hackeren trenger inn i forsvaret ditt, og se hvordan de endret brukernavn, forhøyede rettigheter og tilgang til data. Du kan også se nøyaktig hvilke data de fikk tilgang til.
Implementering av Exabeam krever at du enten kobler apparatet til nettverket ditt eller installerer i en VMware virtual machine (VM) der den kan overvåke AD og SIEM. Du må gi grunnleggende informasjon for tilgang til disse enhetene og deretter la den kjøre. Det er alt det som trengs for det, men det vil betale utbytte å bruke litt tid på å lære å utnytte dataene som de finner og presentere best mulig.
Når den først er i gang, krever Exabeam lite trening for bruk. Tatt i betraktning vanskeligheten med å finne trent IT-sikkerhetspersonell, kan Exabeam betale for seg selv for å holde personalkostnadene under kontroll. Uansett utfører den raskt analysenivåer som vil ta mange års intim kunnskap om organisasjonen og dens ansatte å lære. Og med tanke på flommen av data produsert av de fleste SIEM-produkter, kan den se hendelser som ellers er umulige å finne noen annen måte. En måte å tenke på dette er, hvis Target hadde brukt Exabeam, ville overtredelsen aldri ha skjedd, eller hvis det hadde gjort det, ville det umiddelbart ha blitt avsluttet.
