ตรวจสอบและจัดอันดับ Exabeam

การรั่วไหลของข้อมูลที่ใหญ่ที่สุดเกือบทั้งหมดมีผลกระทบต่อหน่วยงานภาครัฐและเอกชนเกิดขึ้นเมื่อมีคนขโมยข้อมูลรับรองความปลอดภัยของผู้ใช้ที่ได้รับอนุญาตจากนั้นใช้ข้อมูลประจำตัวเหล่านั้นเพื่อขโมยข้อมูล ในช่องโหว่ที่มีการเผยแพร่อย่างกว้างขวางเช่น Target, Sony และ Office of Personnel ระบบตรวจจับการบุกรุก (IDS) ที่ติดตั้งในองค์กรเหล่านี้เห็นการโจมตีเกิดขึ้น แต่น่าเสียดายที่ไม่มีใครสังเกตเห็น แพลตฟอร์ม Intelligence พฤติกรรมผู้ใช้ Exabeam (ซึ่งเริ่มต้นที่ $ 25, 000) ถูกออกแบบมาเพื่อรวบรวมข้อมูลจากแหล่งข้อมูลที่หลากหลายรวมถึง Active Directory (AD) และซอฟต์แวร์และอุปกรณ์ความปลอดภัยและการจัดการเหตุการณ์ (SIEM) และรายงานพฤติกรรมที่น่าสงสัยใน แฟชั่นทันเวลา

Exabeam ซึ่งสามารถส่งได้ทั้งแบบฟิสิคัลและอุปกรณ์เสมือนทำงานโดยตรวจสอบประวัติเหตุการณ์ขององค์กรของคุณเพื่อตรวจสอบว่ามีอะไรผิดปกติจากนั้นตรวจสอบเหตุการณ์ที่เบี่ยงเบนไปจากปกติ Exabeam ยังมีค่าใช้จ่ายในการสมัครสมาชิกซึ่งแตกต่างกันไปตามจำนวนผู้ใช้และอุปกรณ์ที่ตรวจสอบ ถ้าฟังก์ชั่นนี้ฟังดูเป็นพิเศษนั่นเป็นเพราะมันเป็น Exabeam เป็นซอฟต์แวร์ที่ยอดเยี่ยม แต่ควรเป็นองค์ประกอบหนึ่งของกล่องเครื่องมือรักษาความปลอดภัยเครือข่ายที่มีอุปกรณ์ครบครันพร้อมด้วยเครื่องมืออื่น ๆ เช่น GFI LanGuard และ Viewfinity

การตั้งค่า

สำหรับการตรวจสอบนี้ฉันทดสอบ Exabeam v1.7 กับข้อมูลขององค์กรจริง แต่ไม่เปิดเผยตัวตนในสภาพแวดล้อมคลาวด์ การใช้ข้อมูลพนักงานจริงจะสมจริงมากขึ้น แต่อาจละเมิดกฎหมายของรัฐบาลกลางหลายประการ ในทำนองเดียวกัน Exabeam จะทำงานบนอุปกรณ์ในศูนย์ข้อมูลองค์กร แต่ในกรณีนี้การปฏิบัติจริงได้กำหนดแนวทางที่แตกต่างออกไป

เมื่อฉันเริ่มการทำงาน Exabeam ก็สามารถทำการวิเคราะห์ได้อย่างรวดเร็ว การทำงานเร็วขึ้นอยู่กับตัวแปรหลายตัวรวมถึงขนาดขององค์กรของคุณและจำนวนสินทรัพย์ แต่ Exabeam กล่าวว่าเวลาปกติสำหรับการวิเคราะห์ครั้งแรกคือสองหรือสามวัน อย่างไรก็ตามซอฟต์แวร์ Exabeam สามารถเริ่มส่งคืนผลลัพธ์ได้เกือบจะทันทีหากมีเหตุการณ์ที่น่าสงสัยปรากฏขึ้น

แม้ในขณะที่เรียนรู้ว่าสิ่งใดเป็นเรื่องปกติในองค์กรของคุณ Exabeam สามารถค้นหาเหตุการณ์ที่ไม่ธรรมดาได้อย่างชัดเจน ตัวอย่างเช่นหากซอฟต์แวร์ตรวจจับพนักงานจากฝ่ายขายที่ลงชื่อเข้าใช้ข้อมูลของแผนกวิศวกรรมพร้อมกันหลายสิบเซสชันพร้อมกันนั่นเป็นข้อบ่งชี้ที่ดีว่ามีบางสิ่งที่จำเป็นต้องมีการตรวจสอบ

ในความเป็นจริง Exabeam สามารถสูดดมเหตุการณ์ที่ละเอียดอ่อนบางอย่างซึ่งอาจพลาดไปจากการตรวจสอบโดยวิธีอื่น ตัวอย่างเช่นพนักงานที่ไม่เคยเดินทางเข้าสู่ระบบเครือข่ายขององค์กรจากที่ตั้งของแฮ็กเกอร์จำนวนมาก (เช่นรัสเซียหรือยูเครน) และทำจากคอมพิวเตอร์ที่ไม่เคยใช้มาก่อน หากพนักงานเริ่มดาวน์โหลดข้อมูลจำนวนมาก Exabeam จะตั้งค่าสถานะเซสชันเกือบทันที

แต่ไม่จำเป็นต้องชัดเจน บางที Exabeam สังเกตเห็นพนักงานที่แท้จริงของการเข้าสู่ระบบจากแล็ปท็อปขององค์กรของพวกเขา แต่ในช่วงเวลาที่ผิดปกติของวันหรือบางทีในขณะที่พวกเขากำลังพักผ่อน จากนั้นจะบันทึกพนักงานที่เข้าถึงไฟล์ในพื้นที่ที่ไม่ทำงาน Exabeam อาจไม่ติดธงว่าเป็นแฮกเกอร์ แต่จะสังเกตเห็นกิจกรรมที่ผิดปกติและให้คะแนนตามนั้น

Exabeam ทำงานโดยการให้คะแนนกิจกรรมของผู้ใช้ทั้งหมดผ่านสิ่งที่ บริษัท เรียกว่าการติดตามผู้ใช้แบบรัฐแล้วสะสมคะแนนเมื่อเวลาผ่านไป ซอฟต์แวร์จะแสดงรายการของแต่ละเหตุการณ์พร้อมคำอธิบายและคะแนน เพจที่มีข้อมูลรวมถึงลิงค์อ้างอิง ในตัวอย่างหนึ่งของเซสชันที่น่าสงสัย Exabeam พบบุคคลที่ใช้เครือข่ายส่วนตัวเสมือน (VPN) เพื่อเข้าสู่ระบบจากยูเครนโดยใช้คอมพิวเตอร์เป็นครั้งแรกโดยมีผู้ให้บริการอินเทอร์เน็ตที่ไม่รู้จัก (ISP) และใช้ IP ที่ไม่รู้จักมาก่อนหน้านี้ ที่อยู่ จากนั้น Exabeam จะตรวจสอบลักษณะต่างๆเช่นการยกระดับสิทธิ์และการเข้าถึงโซนเครือข่ายใหม่ ด้วยสิ่งเหล่านี้รวมทั้งอินพุตจากอุปกรณ์ความปลอดภัยอื่น ๆ Exabeam ได้พัฒนาคะแนนที่สูงขึ้นและแจ้งเตือนทีมรักษาความปลอดภัย

Exabeam ยังเรียนรู้พฤติกรรมของผู้ใช้เมื่อเวลาผ่านไประบุพนักงานและคนอื่น ๆ ที่เดินทางบ่อยและเรียนรู้ว่าทรัพยากรที่พวกเขาเข้าถึงและเมื่อใด มันติดตามประเภทของสินทรัพย์ (เช่นแล็ปท็อปหรือคอมพิวเตอร์เดสก์ท็อป) ที่บุคคลใช้และสามารถตั้งค่าสถานะเหตุการณ์เมื่อไม่ได้ใช้คอมพิวเตอร์เหล่านั้น

บางทีสิ่งที่มีความสำคัญเท่าเทียมกัน Exabeam สามารถตั้งค่าสถานะคอมพิวเตอร์เฉพาะที่ดูเหมือนจะมีเหตุการณ์ด้านความปลอดภัยจำนวนมากผิดปกติบางทีอาจแสดงว่าพวกเขากำลังถูกใช้เป็นเส้นทางผ่านประตูหลังที่สร้างขึ้นก่อนหน้านี้

เนื่องจาก Exabeam ตรวจสอบพฤติกรรมของผู้ใช้จึงสามารถค้นหาพนักงานเงาได้เช่นกัน นี่เป็นพนักงานปลอมที่แฮ็กเกอร์สร้างขึ้นเมื่อหลายเดือนก่อนเพื่อเป็นหนทางเข้าถึงเครือข่ายของคุณเป็นเวลานาน แต่เนื่องจากพนักงานเหล่านั้นไม่ได้ทำงานปกติและปรากฏบนเครือข่ายแทนในช่วงเวลาที่ผิดปกติหรือทำกิจกรรมที่ผิดปกติพวกเขาจะถูกตั้งค่าสถานะเพื่อให้ยืนยันการมีอยู่ของพวกเขา

สิ่งที่ทำให้ Exabeam มีประโยชน์มาก

Exabeam มีประโยชน์มากเพราะสามารถเชื่อมโยงเหตุการณ์และกิจกรรมแล้วแสดงให้เห็นชัดเจนว่าผู้จัดการความปลอดภัยเกิดอะไรขึ้นและเหตุใดบุคคลหรือสินทรัพย์จึงถูกตั้งค่าสถานะ เนื่องจากข้อมูลทั้งหมดมีอยู่ในพื้นหลังคุณสามารถเจาะลึกเพื่อดูว่าบุคคลใดทำอะไรที่ทำให้พวกเขาถูกตั้งค่าสถานะและคุณสามารถติดตามกิจกรรมของพวกเขาในช่วงเวลาหรือผ่านทางองค์กร

เนื่องจาก Exabeam ติดตามเหตุการณ์และผู้คนเมื่อเวลาผ่านไปจึงทำให้สามารถเห็นได้อย่างชัดเจนว่าเกิดเหตุการณ์ที่น่าสงสัยเกิดอะไรขึ้นในขณะนั้นและเหตุการณ์ที่ตามมา คุณสามารถดูเหตุการณ์ความปลอดภัยที่เปิดออกเมื่อแฮกเกอร์แทรกซึมการป้องกันของคุณและดูว่าพวกเขาเปลี่ยนชื่อผู้ใช้สิทธิ์การยกระดับและข้อมูลที่เข้าถึงได้อย่างไร คุณสามารถดูข้อมูลที่พวกเขาเข้าถึงได้อย่างแน่นอน

การนำ Exabeam ไปใช้คุณต้องเชื่อมต่ออุปกรณ์กับเครือข่ายของคุณหรือติดตั้งในเครื่องเสมือน VMware (VM) ซึ่งสามารถตรวจสอบโฆษณาและ SIEM ของคุณได้ คุณจะต้องให้ข้อมูลพื้นฐานสำหรับการเข้าถึงอุปกรณ์เหล่านั้นแล้วปล่อยให้มันทำงาน นั่นคือทั้งหมดที่มีให้ แต่จะจ่ายเงินปันผลเพื่อใช้เวลาเรียนรู้วิธีการใช้ประโยชน์จากข้อมูลที่มีการค้นพบและนำเสนอได้ดีที่สุด

เมื่อเปิดใช้งานแล้ว Exabeam ต้องการการฝึกอบรมเล็กน้อยเพื่อการใช้งาน เมื่อพิจารณาถึงความยากลำบากในการหาพนักงานรักษาความปลอดภัยด้านไอทีที่ผ่านการฝึกอบรม Exabeam อาจจ่ายค่าใช้จ่ายเองเพื่อรักษาค่าใช้จ่ายของพนักงานภายใต้การควบคุม ไม่ว่าในกรณีใดมันจะทำการวิเคราะห์ระดับอย่างรวดเร็วซึ่งจะต้องใช้เวลานานหลายปีในการเรียนรู้อย่างใกล้ชิดขององค์กรและพนักงานในการเรียนรู้ และจากการพิจารณาข้อมูลจำนวนมากที่ผลิตโดยผลิตภัณฑ์ SIEM ส่วนใหญ่ก็สามารถเห็นเหตุการณ์ที่ไม่สามารถหาวิธีอื่นได้ วิธีหนึ่งที่จะคิดเกี่ยวกับเรื่องนี้คือถ้า Target เคยใช้ Exabeam การฝ่าฝืนอาจจะไม่เกิดขึ้นหรือถ้าเกิดขึ้นมันก็จะจบลงทันที