Índice:
Vídeo: 2021 Cybersecurity Trends (Outubro 2024)
Quase todas as maiores violações de dados que afetam empresas governamentais e privadas acontecem quando alguém rouba as credenciais de segurança de um usuário autorizado e as usa para roubar dados. Em violações recentes muito divulgadas, como Target, Sony e Office of Personnel Management, os sistemas de detecção de intrusões (IDS) instalados nessas empresas viram o ataque acontecer, mas, infelizmente, ninguém percebeu. A Plataforma de Inteligência de Comportamento do Usuário Exabeam (que começa em US $ 25.000) foi projetada para coletar informações de diversas fontes, incluindo o Active Directory (AD) e seus softwares e dispositivos de gerenciamento de informações e eventos de segurança (SIEM), além de relatar comportamentos suspeitos em um moda oportuna.
O Exabeam, que pode ser entregue como um dispositivo físico ou virtual, funciona examinando o histórico de eventos da sua organização para determinar o que é normal e, em seguida, examinando os eventos que se desviam do normal. O Exabeam também possui um custo de assinatura que varia de acordo com o número de usuários e dispositivos monitorados. Se essa funcionalidade parece especializada, é porque é. O Exabeam é um ótimo software, mas deve ser apenas um componente de uma caixa de ferramentas de segurança de rede bem equipada, juntamente com outras ferramentas, como GFI LanGuard e Viewfinity.
Como configurar
Nesta revisão, testei o Exabeam v1.7 em relação a dados corporativos reais, mas anonimizados, em um ambiente em nuvem. Usar dados reais de funcionários teria sido mais realista, mas provavelmente teria violado várias leis federais. Da mesma forma, o Exabeam normalmente é executado em um dispositivo no data center corporativo, mas, nesse caso, a praticidade ditou uma abordagem diferente.
Depois que comecei a execução, o Exabeam foi capaz de executar uma análise rapidamente. Exatamente a rapidez com que ele funcionará depende de várias variáveis, incluindo o tamanho da sua organização e seu número de ativos, mas a Exabeam disse que o tempo usual para a primeira análise é de dois ou três dias. No entanto, o software Exabeam pode começar a retornar resultados quase imediatamente se aparecerem eventos suspeitos.
Mesmo enquanto está aprendendo o que é normal em sua empresa, o Exabeam pode encontrar eventos que claramente não são normais. Por exemplo, se o software detectar um funcionário do departamento de vendas que está efetuando login nos dados do departamento de engenharia com várias dezenas de sessões simultâneas, isso é uma boa indicação de que algo precisa de investigação.
De fato, o Exabeam pode detectar alguns eventos sutis que podem ser perdidos por um exame realizado por algum outro método. Digamos, por exemplo, um funcionário que nunca viaja logon na rede corporativa de um local conhecido por uma grande população de hackers (como a Rússia ou a Ucrânia) e o faz em um computador que nunca havia usado antes. Se o funcionário começar a baixar uma grande quantidade de dados, o Exabeam sinalizará a sessão quase instantaneamente.
Mas não precisa ser tão óbvio. Talvez a Exabeam perceba um funcionário real fazendo logon no laptop corporativo, mas em um horário incomum do dia ou talvez enquanto estiver de férias. Em seguida, ele registra o funcionário acessando arquivos em uma área na qual eles não trabalham. O Exabeam não pode sinalizar isso como um certo hacker, mas notará a atividade incomum e a pontuará de acordo.
O Exabeam funciona classificando todas as atividades do usuário através do que a empresa chama de Stateful User Tracking e depois acumula as pontuações ao longo do tempo. O software apresenta uma lista de cada evento com uma explicação e a pontuação. A página com os dados inclui links de referência. Em um exemplo de sessão suspeita, a Exabeam encontrou uma pessoa usando uma rede virtual privada (VPN) para fazer login na Ucrânia, usando um computador pela primeira vez, com um provedor de serviços de Internet desconhecido (ISP) e usando um IP anteriormente desconhecido. endereço. Em seguida, a Exabeam examinou características como elevação de privilégios e acesso a novas zonas de rede. Com tudo isso, além da entrada de outros dispositivos de segurança, a Exabeam desenvolveu uma pontuação elevada e alertou a equipe de segurança.
A Exabeam também aprende o comportamento do usuário ao longo do tempo, identifica funcionários e outras pessoas que viajam com frequência e aprende quais recursos eles acessam e quando. Ele monitora quais tipos de ativos (como laptops ou computadores de mesa) que uma pessoa usa e pode sinalizar eventos quando não estiver usando esses computadores.
Talvez igualmente importante, o Exabeam pode sinalizar computadores específicos que parecem ter um número incomumente alto de eventos de segurança, talvez indicando que eles estão sendo usados como um caminho através de uma porta dos fundos criada anteriormente por algum malware.
Como o Exabeam monitora o comportamento do usuário, ele também pode encontrar funcionários ocultos. Esses são funcionários falsos criados por hackers, talvez meses antes, como forma de conceder acesso à sua rede por um longo período de tempo. Porém, como esses funcionários não têm atividade normal de trabalho e, em vez disso, aparecem na rede durante horas incomuns ou realizando atividades incomuns, eles serão sinalizados para que sua existência possa ser confirmada.
O que torna o Exabeam tão útil
O Exabeam é tão útil porque é capaz de correlacionar eventos e atividades e, em seguida, exibi-los para que seja óbvio para os gerentes de segurança o que está acontecendo e por que a pessoa ou o ativo foi sinalizado. Como todos os dados estão disponíveis em segundo plano, você pode fazer uma busca detalhada para ver o que uma pessoa específica estava fazendo que fez com que eles fossem sinalizados e acompanhar suas atividades ao longo do tempo ou através da empresa.
Como o Exabeam acompanha eventos e pessoas ao longo do tempo, torna possível ver exatamente quando ocorreu um evento suspeito, o que aconteceu naquele momento e quais eventos ocorreram. Você pode assistir a um evento de segurança se desenrolar à medida que o hacker penetra em suas defesas e observar como eles mudaram nomes de usuário, privilégios elevados e dados acessados. Você também pode ver exatamente quais dados eles acessaram.
A implementação do Exabeam exige que você conecte o dispositivo à sua rede ou instale em uma máquina virtual (VM) da VMware onde ele possa monitorar seu AD e seu SIEM. Você precisará fornecer informações básicas para acessar esses dispositivos e deixá-lo em execução. Isso é tudo o que existe, mas pagará dividendos para gastar algum tempo aprendendo a usar da melhor forma os dados que está encontrando e apresentando.
Uma vez instalado e funcionando, o Exabeam requer pouco treinamento para uso. Considerando a dificuldade em encontrar uma equipe de segurança de TI treinada, a Exabeam pode pagar por si mesma, mantendo os custos da equipe sob controle. De qualquer forma, ele executa rapidamente níveis de análise que levariam anos de conhecimento íntimo da organização e de sua equipe para serem aprendidos. E, considerando a enxurrada de dados produzidos pela maioria dos produtos SIEM, ele pode ver eventos que, de outra forma, seriam impossíveis de encontrar de outra maneira. Uma maneira de pensar sobre isso é, se o Target estivesse usando o Exabeam, a violação poderia nunca ter acontecido ou, se tivesse, teria terminado imediatamente.
