Sommario:
Video: 2021 Cybersecurity Trends (Ottobre 2024)
Quasi tutte le maggiori violazioni dei dati che riguardano le amministrazioni pubbliche e le imprese private si verificano quando qualcuno ruba le credenziali di sicurezza di un utente autorizzato e quindi utilizza tali credenziali per rubare i dati. In recenti violazioni molto pubblicizzate come Target, Sony e Office of Personnel Management, i sistemi di rilevamento delle intrusioni (IDS) installati in queste aziende hanno visto l'attacco accadere ma, sfortunatamente, nessuno se ne è accorto. La piattaforma Exabeam User Behavior Intelligence (che inizia a $ 25.000) è progettata per raccogliere informazioni da una varietà di fonti diverse, tra cui Active Directory (AD) e il software e le apparecchiature di sicurezza delle informazioni e degli eventi di sicurezza (SIEM), e segnalare comportamenti sospetti in un moda attuale.
Exabeam, che può essere fornito come dispositivo fisico o virtuale, funziona esaminando la cronologia degli eventi della tua organizzazione per determinare ciò che è normale e quindi esaminando eventi che si discostano dal normale. Exabeam ha anche un costo di abbonamento che varia in base al numero di utenti e dispositivi monitorati. Se questa funzionalità sembra specializzata, è perché lo è. Exabeam è un ottimo software, ma dovrebbe essere solo un componente di una cassetta degli attrezzi di sicurezza di rete ben equipaggiata insieme ad altri strumenti come GFI LanGuard e Viewfinity.
Preparazione
Per questa recensione, ho testato Exabeam v1.7 con dati aziendali reali ma anonimizzati in un ambiente cloud. L'uso di dati reali sui dipendenti sarebbe stato più realistico ma probabilmente avrebbe violato una serie di leggi federali. Allo stesso modo, Exabeam viene normalmente eseguito su un'appliance nel data center aziendale ma, in questo caso, la praticità impone un approccio diverso.
Una volta avviata la corsa, Exabeam è stato in grado di eseguire rapidamente un'analisi. La velocità con cui funzionerà dipende da un numero di variabili, tra cui la dimensione della tua organizzazione e il suo numero di risorse, ma Exabeam ha affermato che il tempo normale per la prima analisi è di due o tre giorni. Tuttavia, il software Exabeam può iniziare a restituire risultati quasi immediatamente se si presentano eventi sospetti.
Anche mentre sta imparando ciò che è normale nella tua azienda, Exabeam è in grado di trovare eventi chiaramente non normali. Ad esempio, se il software rileva un dipendente del reparto vendite che accede ai dati del dipartimento di ingegneria con diverse dozzine di sessioni simultanee, questa è una buona indicazione del fatto che qualcosa deve essere investigato.
In effetti, Exabeam può annusare alcuni eventi impercettibili che potrebbero sfuggire a un esame fatto con altri metodi. Supponiamo, ad esempio, che un dipendente che non viaggia mai acceda alla rete aziendale da una posizione nota per un'alta popolazione di hacker (come la Russia o l'Ucraina) e lo fa da un computer che non ha mai usato prima. Se il dipendente inizia quindi a scaricare una grande quantità di dati, Exabeam segnalerà la sessione quasi istantaneamente.
Ma non deve essere così ovvio. Forse Exabeam nota un vero dipendente che accede dal proprio laptop aziendale, ma in un momento insolito del giorno o forse mentre è in vacanza. Quindi registra quel dipendente che accede ai file in un'area in cui non funziona. Exabeam potrebbe non contrassegnarlo come un determinato hacker, ma noterà l'attività insolita e la classificherà di conseguenza.
Exabeam funziona calcolando tutte le attività degli utenti attraverso ciò che l'azienda chiama Stateful User Tracking e quindi accumula i punteggi nel tempo. Il software presenta quindi un elenco di ogni evento con una spiegazione e il punteggio. La pagina con i dati include collegamenti di riferimento. In un esempio di sessione sospetta, Exabeam ha trovato una persona che utilizzava una rete privata virtuale (VPN) per accedere dall'Ucraina, utilizzando per la prima volta un computer, con un provider di servizi Internet (ISP) sconosciuto e utilizzando un IP precedentemente sconosciuto indirizzo. Quindi Exabeam ha esaminato caratteristiche come l'elevazione dei privilegi e l'accesso a nuove zone di rete. Con tutto ciò oltre al contributo di altri dispositivi di sicurezza, Exabeam ha sviluppato un punteggio elevato e ha avvisato il team di sicurezza.
Exabeam impara anche il comportamento degli utenti nel tempo, identifica i dipendenti e gli altri che viaggiano frequentemente e impara a quali risorse accedono e quando. Tiene traccia di quali tipi di risorse (come laptop o desktop) che una persona utilizza e può contrassegnare eventi quando non utilizzano quei computer.
Forse altrettanto importante, Exabeam può contrassegnare computer specifici che sembrano avere un numero insolitamente alto di eventi di sicurezza, forse indicando che vengono utilizzati come percorso attraverso una backdoor creata in precedenza da alcuni malware.
Poiché Exabeam monitora il comportamento degli utenti, è anche in grado di trovare dipendenti ombra. Si tratta di falsi dipendenti creati da hacker forse mesi prima come un modo per dare accesso alla tua rete per un lungo periodo di tempo. Tuttavia, poiché tali dipendenti non hanno una normale attività lavorativa e invece compaiono sulla rete durante ore insolite o svolgono attività insolite, saranno contrassegnati in modo da poter confermare la loro esistenza.
Cosa rende Exabeam così utile
Exabeam è così utile perché è in grado di correlare eventi e attività e quindi visualizzarli in modo che sia ovvio per i responsabili della sicurezza cosa sta succedendo e perché la persona o la risorsa è stata contrassegnata. Poiché tutti i dati sono disponibili in background, è possibile eseguire il drill down per vedere cosa stava facendo una persona specifica che ha causato la loro segnalazione e è possibile seguire le loro attività nel tempo o attraverso l'azienda.
Poiché Exabeam segue eventi e persone nel tempo, rende possibile vedere esattamente quando si è verificato un evento sospetto, cosa è successo in quel momento e quali eventi sono seguiti. Puoi guardare un evento di sicurezza mentre lo hacker penetra nelle tue difese e vedere come hanno cambiato i nomi utente, i privilegi elevati e i dati di accesso. Puoi anche vedere esattamente a quali dati hanno avuto accesso.
L'implementazione di Exabeam richiede il collegamento dell'appliance alla rete o l'installazione in una macchina virtuale VMware (VM) in cui è possibile monitorare l'AD e il SIEM. Dovrai fornire le informazioni di base per accedere a quei dispositivi e poi lasciarli funzionare. Questo è tutto ciò che c'è da fare, ma pagherà i dividendi per passare un po 'di tempo a imparare come utilizzare al meglio i dati che sta trovando e presentando.
Una volta installato e funzionante, Exabeam richiede poco addestramento per l'uso. Considerando la difficoltà di reperire personale di sicurezza IT qualificato, Exabeam può ripagarsi da solo per tenere sotto controllo i costi del personale. In ogni caso, esegue rapidamente livelli di analisi che richiederebbero anni di conoscenza intima dell'organizzazione e del suo staff per l'apprendimento. E, considerando il flusso di dati prodotto dalla maggior parte dei prodotti SIEM, può vedere eventi altrimenti impossibili da trovare in altro modo. Un modo di pensare a questo è che, se Target avesse usato Exabeam, la violazione potrebbe non essersi mai verificata o, in caso affermativo, sarebbe finita immediatamente.
