İçindekiler:
Video: 2021 Cybersecurity Trends (Eylül 2024)
Neredeyse devlet ve özel işletmeleri etkileyen en büyük veri ihlallerinin tümü, birileri yetkili bir kullanıcının güvenlik bilgilerini çaldığında meydana gelir ve ardından bu bilgileri veriyi çalmak için kullanır. Target, Sony ve Personel Yönetimi Ofisi gibi son zamanlarda duyurulan ihlallerde, bu işletmelere kurulan izinsiz giriş tespit sistemleri (IDS) saldırının olduğunu gördü, ancak ne yazık ki kimse fark etmedi. Exabeam Kullanıcı Davranışı İstihbarat Platformu (25.000 $ 'dan başlar), Active Directory (AD) ve Güvenlik Bilgi ve Etkinlik Yönetimi (SIEM) yazılımı ve cihazları da dahil olmak üzere çeşitli kaynaklardan bilgi toplamak ve bir şüpheli davranışı rapor etmek için tasarlanmıştır. zamanında moda.
Fiziksel veya sanal bir cihaz olarak sunulabilen Exabeam, neyin normal olduğunu saptamak ve ardından normalden sapan olayları incelemek için kuruluşunuzun olay geçmişini inceleyerek çalışır. Exabeam ayrıca izlenen kullanıcı ve cihaz sayısına göre değişen bir abonelik maliyetine sahiptir. Bu işlevsellik uzmanlıktan geliyorsa, bunun nedeni budur. Exabeam harika bir yazılımdır, ancak GFI LanGuard ve Viewfinity gibi diğer araçlarla birlikte iyi donanımlı bir ağ güvenlik araç kutusunun yalnızca bir bileşeni olmalıdır.
Kurmak
Bu inceleme için, Exabeam v1.7'yi bir bulut ortamında gerçek ama anonimleştirilmiş kurumsal verilere karşı test ettim. Gerçek çalışan verilerini kullanmak daha gerçekçi olurdu, ancak muhtemelen bazı federal yasaları ihlal etmiş olacaktı. Aynı şekilde, Exabeam normalde kurumsal veri merkezindeki bir cihazda çalıştırılır, ancak bu durumda pratiklik farklı bir yaklaşım gerektiriyordu.
Koşuya başladığımda, Exabeam hızlıca bir analiz yapabildi. Tam olarak ne kadar hızlı çalışacağı, kuruluşunuzun büyüklüğü ve varlıklarının sayısı da dahil olmak üzere bir dizi değişkene bağlıdır, ancak Exabeam, ilk analiz için normal zamanın iki ya da üç gün olduğunu söyledi. Ancak, Exabeam yazılımı, şüpheli olaylar ortaya çıkarsa, hemen hemen sonuçları iade etmeye başlayabilir.
İşletmenizde neyin normal olduğunu öğreniyor olsa da, Exabeam açıkça normal olmayan olayları bulabiliyor. Örneğin, yazılım birkaç düzine eşzamanlı oturumla mühendislik departmanının verilerine giriş yapan satış departmanından bir çalışanı tespit ederse, bu bir şeyin araştırılması gerektiğini gösteren iyi bir göstergedir.
Aslında, Exabeam, başka bir yöntemle yapılan bir incelemeyle kaçırılabilecek bazı ince olayları koklayabilir. Örneğin, şirket ağına asla seyahat etmeyen bir çalışan, yüksek bilgisayar korsanı popülasyonu (Rusya veya Ukrayna gibi) tarafından bilinen bir konumdan oturum açar ve bunu daha önce hiç kullanmadıkları bir bilgisayardan yapar. Çalışan daha sonra büyük miktarda veri indirmeye başlarsa, Exabeam oturumu neredeyse anında işaretleyecektir.
Ancak bu kadar açık olması gerekmez. Belki de Exabeam, gerçek bir çalışanın şirket dizüstü bilgisayarından giriş yaptığını ancak alışılmadık bir saatte veya belki de tatilde olduklarını fark eder. Daha sonra çalışanın çalışmadığı bir alandaki dosyalara eriştiğini kaydeder. Exabeam, bunu belli bir hacker olarak işaretlemeyebilir ancak sıra dışı aktiviteyi fark eder ve buna göre puanlandırır.
Exabeam, tüm kullanıcı faaliyetlerini şirketin Durumlu Kullanıcı Takibi olarak adlandırdığı noktayla puanlayarak çalışır ve zamanla puanları toplar. Yazılım daha sonra açıklama ve puan içeren her olayın bir listesini sunar. Verileri içeren sayfa referans linkleri içerir. Şüpheli bir oturum örneğinde, Exabeam, Ukrayna’dan giriş yapmak için ilk kez bir bilgisayarı kullanarak, bilinmeyen bir İnternet Servis Sağlayıcısı (ISS) olan ve daha önce bilinmeyen bir IP kullanan bir bilgisayarı kullanarak sanal bir özel ağ (VPN) kullanan bir kişi buldu adres. Ardından Exabeam, bir ayrıcalık yükselmesi ve yeni ağ bölgelerine erişim gibi özellikleri inceledi. Tüm bu artı diğer güvenlik cihazlarından gelen girdilerle, Exabeam yüksek bir puan aldı ve güvenlik ekibini uyardı.
Exabeam ayrıca zaman içinde kullanıcı davranışını öğrenir, çalışanları ve sıklıkla seyahat eden diğerlerini tanımlar ve hangi kaynaklara ne zaman eriştiklerini öğrenir. Bir kişinin hangi varlık türlerini (dizüstü veya masaüstü bilgisayarlar gibi) kullandığını izler ve bu bilgisayarları kullanmadıklarında olayları işaretleyebilir.
Belki de eşit derecede önemli olan Exabeam, alışılmadık derecede fazla güvenlik olayı gibi görünen belirli bilgisayarları işaretleyebilir, belki de bazı kötü amaçlı yazılımların daha önce yarattığı bir arka kapıdan geçit yolu olarak kullanıldığını gösterir.
Exabeam kullanıcı davranışını izlediğinden, gölge çalışanları da bulabilir. Bunlar, korsanların ağınıza uzun süre erişebilmesinin bir yolu olarak belki de aylar önce oluşturulan sahte çalışanlardır. Ancak, bu çalışanlar normal iş faaliyetine sahip olmadığından ve alışılmadık saatlerde veya olağandışı faaliyetlerde bulunduğunda ağda göründüğünden, varlıklarının doğrulanması için işaretleneceklerdir.
Exabeam'i Bu Kadar Faydalı Yapan Nedir?
Exabeam çok kullanışlıdır, çünkü olayları ve etkinlikleri ilişkilendirebilir ve daha sonra, güvenlik yöneticileri için neler olup bittiğini ve kişinin veya malın neden işaretlendiğini açık bir şekilde gösterebilir. Verilerin tümü arka planda bulunduğundan, işaretlenmelerine neden olan belirli bir kişinin ne yaptığını görmek için delinebilir ve etkinliklerini zaman içinde veya işletme aracılığıyla takip edebilirsiniz.
Exabeam olayları ve insanları zaman içinde takip ettiğinden, şüpheli bir olayın tam olarak ne zaman gerçekleştiğini, o anda ne olduğunu ve hangi olayların takip edildiğini görmeyi mümkün kılar. Bir güvenlik olayını, bilgisayar korsanının savunma sistemlerine girerken açabileceğini ve kullanıcı adlarını, yüksek ayrıcalıkları ve erişilen verileri nasıl değiştirdiklerini izleyebilirsiniz. Tam olarak hangi verilere eriştiklerini de görebilirsiniz.
Exabeam'in uygulanması, cihazı ağınıza bağlamanızı veya AD ve SIEM'inizi izleyebileceği bir VMware sanal makinesine (VM) kurmanızı gerektirir. Bu cihazlara erişim için temel bilgileri sağlamanız ve sonra çalışmasına izin vermeniz gerekecektir. Hepsi bu kadar, ancak bulduğu ve sunduğu verileri en iyi şekilde kullanmayı öğrenmek için biraz zaman harcayarak kar payları ödeyecek.
Çalışmaya başladığında, Exabeam'in kullanımı için çok az eğitim gerekir. Eğitimli BT güvenlik personeli bulmadaki zorlukları göz önüne alarak Exabeam, personel maliyetlerini kontrol altında tutabilmek için ücret ödeyebilir. Her durumda, kuruluşun ve çalışanlarının öğrenmesi gereken uzun yıllara dayanan bilgileri gerektiren analiz düzeylerini hızla gerçekleştirir. Ve çoğu SIEM ürününün ürettiği veri seli dikkate alındığında, başka türlü yolunu bulmak imkansız olan olayları görebilir. Bunu düşünmenin bir yolu, eğer Hedef Exabeam'i kullanıyor olsaydı, ihlal asla gerçekleşmeyebilirdi ya da olsaydı, derhal sona erecekti.
