Innehållsförteckning:
Video: 2021 Cybersecurity Trends (September 2024)
Nästan alla de största dataöverträdelser som påverkar statliga och privata företag inträffar när någon stjäl säkerhetsuppgifterna för en auktoriserad användare och sedan använder dessa referenser för att stjäla data. I mycket publicerade nyligen inträffade överträdelser som Target, Sony och Office of Personal Management såg intrångsdetekteringssystemen (IDS) installerade vid dessa företag attacken hända men tyvärr såg ingen märke till det. Exabeam-användarbeteende-intelligensplattformen (som börjar på $ 25 000) är utformad för att samla information från en mängd olika källor, inklusive Active Directory (AD) och din säkerhetsinformation och eventhantering (SIEM) programvara och apparater, och rapportera misstänkt beteende i ett snabbt mode.
Exabeam, som kan levereras antingen som en fysisk eller virtuell apparat, fungerar genom att granska din organisations händelseshistorik för att avgöra vad som är normalt och sedan undersöka händelser som avviker från det normala. Exabeam har också en prenumerationskostnad som varierar beroende på antalet övervakade användare och enheter. Om den här funktionen låter specialiserad, beror det på att den är det. Exabeam är bra programvara, men det bör bara vara en del av en välutrustad verktygslåda för nätverkssäkerhet tillsammans med andra verktyg som GFI LanGuard och Viewfinity.
Komma igång
För denna recension testade jag Exabeam v1.7 mot verkliga men anonymiserade företagsdata i en molnmiljö. Att använda verkliga medarbetaruppgifter skulle ha varit mer realistiskt men förmodligen skulle ha brott mot ett antal federala lagar. På samma sätt körs Exabeam normalt på en apparat i företagets datacenter, men i detta fall dikterade praktiken en annan strategi.
När jag startade körningen kunde Exabeam snabbt utföra en analys. Exakt hur snabbt det kommer att fungera beror på ett antal variabler, inklusive storleken på din organisation och dess antal tillgångar, men Exabeam sa att den vanliga tiden för den första analysen är två eller tre dagar. Exabeam-programvaran kan dock börja returnera resultat nästan omedelbart om misstänkta händelser dyker upp.
Även om det lär sig vad som är normalt i ditt företag, kan Exabeam hitta händelser som helt klart inte är normala. Om till exempel programvaran upptäcker en anställd från försäljningsavdelningen som loggar in på ingenjörsavdelningens data med flera dussin samtidigt, är det en bra indikation på att något behöver utredas.
Faktum är att Exabeam kan sniffa ut några subtila händelser som kan missas av en undersökning utförd med någon annan metod. Låt oss till exempel säga en anställd som aldrig reser loggar in på företagets nätverk från en plats som är känd för en hög befolkning av hackare (som Ryssland eller Ukraina) och gör det från en dator de aldrig har använt tidigare. Om medarbetaren sedan börjar ladda ner en stor mängd data kommer Exabeam att flagga sessionen nästan omedelbart.
Men det behöver inte vara så uppenbart. Kanske Exabeam märker att en riktig anställd loggar in från sin företags bärbara dator men vid en ovanlig tid på dagen eller kanske medan de är på semester. Den registrerar sedan att anställda får åtkomst till filer i ett område där de inte arbetar. Exabeam kanske inte markerar det som en viss hacker men det kommer att märka den ovanliga aktiviteten och göra det i enlighet därmed.
Exabeam fungerar genom att göra all användaraktivitet genom vad företaget kallar Stateful User Tracking och samlar sedan poängen över tid. Programvaran presenterar sedan en lista över varje händelse med en förklaring och poängen. Sidan med informationen innehåller referenslänkar. I ett exempel på en misstänkt session fann Exabeam en person som använder ett virtuellt privat nätverk (VPN) för att logga in från Ukraina, använda en dator för första gången, med en okänd Internetleverantör (ISP) och använda en tidigare okänd IP adress. Därefter undersökte Exabeam egenskaper som en privilegierad höjning och tillgång till nya nätverkszoner. Med allt detta plus-input från andra säkerhetsenheter utvecklade Exabeam en förhöjd poäng och varnade säkerhetsteamet.
Exabeam lär sig också användarnas beteende över tid, identifierar anställda och andra som ofta reser och lär sig vilka resurser de har tillgång till och när. Den håller reda på vilka typer av tillgångar (som bärbara eller stationära datorer) som en person använder och det kan flagga händelser när de inte använder dessa datorer.
Kanske lika viktigt kan Exabeam flagga specifika datorer som verkar ha ett ovanligt stort antal säkerhetshändelser, kanske indikerar att de används som en väg genom en bakdörr som skapats tidigare av något skadligt program.
Eftersom Exabeam övervakar användarnas beteende kan det också hitta skugganställda. Dessa är falska anställda som skapats av hackare kanske månader tidigare som ett sätt att ge åtkomst till ditt nätverk under en lång tid. Men eftersom de anställda inte har normal arbetsaktivitet och istället visas i nätverket under ovanliga timmar eller utför ovanliga aktiviteter, kommer de att flaggas så att deras existens kan bekräftas.
Vad som gör Exabeam så användbart
Exabeam är så användbart eftersom det kan korrelera händelser och aktiviteter och sedan visa dem så att det är uppenbart för säkerhetschefer vad som händer och varför personen eller tillgången flaggades. Eftersom all information finns tillgänglig i bakgrunden kan du gå igenom för att se vad en specifik person gjorde som fick dem att flaggas, och du kan följa deras aktiviteter över tid eller genom företaget.
Eftersom Exabeam följer händelser och människor genom tiden gör det det möjligt att se exakt när en misstänkt händelse inträffade, vad som hände i det ögonblicket och vilka händelser som följde. Du kan titta på en säkerhetshändelse som utvecklas när hackaren penetrerar dina försvar och se hur de ändrade användarnamn, förhöjda privilegier och åtkomna data. Du kan också se exakt vilken information de fick åtkomst till.
Implementering av Exabeam kräver att du antingen ansluter apparaten till ditt nätverk eller installerar i en VMware virtual machine (VM) där den kan övervaka din AD och din SIEM. Du måste tillhandahålla grundläggande information för åtkomst till dessa enheter och sedan låta den köras. Det är allt som behövs men det kommer att betala utdelning för att spendera lite tid på att lära sig hur man bäst utnyttjar de uppgifter som de hittar och presenterar.
När det väl är igång kräver Exabeam lite träning för användning. Med tanke på svårigheten att hitta utbildad IT-säkerhetspersonal kan Exabeam betala för sig själv för att hålla personalkostnaderna under kontroll. I vilket fall som helst utför den snabbt analysnivåer som skulle ta många års intima kunskap om organisationen och dess personal att lära sig. Och med tanke på den översvämning av data som produceras av de flesta SIEM-produkter kan den se händelser som annars är omöjliga att hitta något annat sätt. Ett sätt att tänka på detta är, om Target hade använt Exabeam, kanske brottet aldrig hade hänt eller om det hade gjort det omedelbart upphört.
