סקירה ודירוג Exabeam

כמעט כל הפרות הנתונים הגדולות ביותר שמשפיעות על מפעלים ממשלתיים ופרטיים מתרחשות כאשר מישהו גונב את אישורי האבטחה של משתמש מורשה ואז משתמש באותם אישורים כדי לגנוב נתונים. בהפרות שהתפרסמו לאחרונה כמו Target, Sony ומשרד ניהול כוח האדם, מערכות איתור הפריצות (IDS) שהותקנו במפעלים אלה ראו את ההתקפה מתרחשת, אך למרבה הצער, איש לא הבחין בכך. פלטפורמת האינטיליגנציה של התנהגות משתמשים ב- Exabeam (המתחילה ב -25, 000 דולר) נועדה לאסוף מידע ממגוון מקורות שונים, כולל Active Directory (AD) ותוכנות ומכשירי ה- Information Information and Management Management (SIEM) שלך, ולדווח על התנהגות חשודה במערכת אופנה בזמן.

Exabeam, שיכול להיות מועבר כמכשיר פיזי או וירטואלי, פועל על ידי בחינת היסטוריית האירועים של הארגון שלך כדי לקבוע מה תקין ואז לבחון אירועים החורגים מהרגיל. ל- Exabeam יש גם עלות מנוי שמשתנה בהתאם למספר המשתמשים והמכשירים המפוקחים. אם פונקציונליות זו נשמעת מיוחדת, זה בגלל שהיא. Exabeam היא תוכנה נהדרת, אך עליה להיות רק מרכיב אחד בתיבת כלי אבטחת הרשת המאובזרת יחד עם כלים אחרים כמו GFI LanGuard ו- Viewfinity.

מתחילים להתקין

לסקירה זו בחנתי את Exabeam v1.7 מול נתונים ארגוניים אמיתיים אך אנונימיים בסביבת ענן. השימוש בנתוני עובדים אמיתיים היה מציאותי יותר אך ככל הנראה היה מפר את מספר החוקים הפדרליים. באופן דומה, Exabeam מנוהלת בדרך כלל על מכשיר במרכז הנתונים הארגוני, אך במקרה זה המעשיות הכתיבה גישה אחרת.

ברגע שהתחלתי את הריצה, Exabeam הצליחה לבצע ניתוח במהירות. כמה מהר זה יעבוד תלוי במספר משתנים, כולל גודל הארגון שלך ומספר הנכסים שלו, אך Exabeam אמרה כי הזמן הרגיל לניתוח הראשון הוא יומיים או שלושה. עם זאת, תוכנת Exabeam יכולה להתחיל להחזיר תוצאות כמעט מייד אם מופיעים אירועים חשודים.

אפילו בזמן שהיא לומדת מה נורמלי בארגון שלך, Exabeam מצליחה למצוא אירועים שברור שאינם תקינים. לדוגמה, אם התוכנה מאתרת עובד ממחלקת המכירות שנכנס לנתוני מחלקת ההנדסה עם כמה עשרות מפגשים בו זמנית, זו אינדיקציה טובה לכך שמשהו זקוק לחקירה.

למעשה, Exabeam יכול לרחרח כמה אירועים עדינים שעלולים לפספס על ידי בחינה שנעשתה בשיטה אחרת. נניח, למשל, עובד שלעולם לא נוסע נכנס לרשת הארגונית ממקום ידוע באוכלוסייה גבוהה של האקרים (כמו רוסיה או אוקראינה) ועושה זאת ממחשב שמעולם לא השתמשו בו בעבר. אם העובד מתחיל להוריד כמות גדולה של נתונים, Exabeam יסמן את ההפעלה כמעט באופן מיידי.

אבל זה לא צריך להיות כל כך ברור. אולי Exabeam מבחין בעובד אמיתי שמתחבר מהמחשב הנייד של החברה שלהם, אך בשעה לא שגרתית ביום או אולי בזמן שהם בחופשה. לאחר מכן הוא מתעד שעובד הגישה לקבצים באזור בו הם לא עובדים. Exabeam אולי לא תסמן את זה כהאקר מסוים, אך היא תבחין בפעילות הלא שגרתית ותדרג אותה בהתאם.

Exabeam פועלת על ידי ניקוד כל פעילות המשתמשים באמצעות מה שהחברה מכנה מעקב אחר משתמשים מצבי ואז צוברת את התוצאות לאורך זמן. לאחר מכן התוכנה מציגה רשימה של כל אירוע עם הסבר והציון. הדף עם הנתונים כולל קישורי עזר. בדוגמה אחת להפעלה חשודה, Exabeam מצא אדם שמשתמש ברשת פרטית וירטואלית (VPN) להתחבר מאוקראינה, משתמש במחשב בפעם הראשונה, עם ספק שירותי אינטרנט לא ידוע (ISP) ומשתמש ב- IP שאינו ידוע בעבר. כתובת. אז Exabeam בדקה מאפיינים כמו העלאת הרשאות וגישה לאזורי רשת חדשים. עם כל אותם קלט פלוס ממכשירי אבטחה אחרים, Exabeam פיתחה ציון גבוה והזהיר את צוות האבטחה.

Exabeam לומד גם התנהגות משתמשים לאורך זמן, מזהה עובדים ואחרים שנוסעים לעתים קרובות ולומד לאילו משאבים הם ניגשים ומתי. הוא עוקב אחר סוגי הנכסים (כגון מחשבים ניידים או מחשבים שולחניים) שאדם משתמש בהם והוא יכול לסמן אירועים כאשר הוא לא משתמש במחשבים אלה.

אולי חשוב לא פחות, Exabeam יכולה לסמן מחשבים ספציפיים שנראים שיש להם מספר גבוה במיוחד של אירועי אבטחה, ואולי מצביעים על כך שהם משמשים כמסלול דרך דלת אחורית שנוצרה קודם לכן על ידי תוכנות זדוניות מסוימות.

מכיוון ש- Exabeam עוקב אחר התנהגות המשתמשים, הוא גם מסוגל למצוא עובדי צל. מדובר בעובדים מזויפים שנוצרו על ידי האקרים אולי חודשים קודם לכן כדרך להעניק גישה לרשת שלך במשך תקופה ארוכה. אולם מכיוון שהעובדים הללו אינם פועלים בפעילות רגילה ובמקום זאת מופיעים ברשת בשעות חריגות או מבצעים פעילויות חריגות, הם יסומנו כך שניתן יהיה לאשר את קיומם.

מה שעושה Exabeam כל כך שימושי

Exabeam כל כך שימושי מכיוון שהוא מסוגל לתאם בין אירועים ופעילויות ואז להציג אותם כך שיהיה ברור למנהלי האבטחה מה קורה, ומדוע סומן האדם או הנכס. מכיוון שכל הנתונים זמינים ברקע, אתה יכול להתעמק כדי לראות מה עשה אדם ספציפי שגרם לסמן אותם, ותוכל לעקוב אחר הפעילויות שלהם לאורך זמן או דרך הארגון.

מכיוון שאקסאבאם עוקב אחר אירועים ואנשים לאורך זמן, זה מאפשר לראות בדיוק מתי התרחש אירוע חשוד, מה קרה באותו הרגע ואילו אירועים התרחשו. אתה יכול לצפות באירוע אבטחה שמתגלה כשההאקר חודר להגנות שלך, ולראות כיצד הם שינו שמות משתמשים, הרשאות מוגדלות וגישה לנתונים. אתה יכול גם לראות בדיוק לאילו נתונים הם ניגשו.

הטמעת Exabeam מחייבת לחבר את המכשיר לרשת שלך או להתקין במחשב וירטואלי VMware (VM) שם הוא יכול לעקוב אחר המודעה שלך ו- SIEM שלך. יהיה עליך לספק מידע בסיסי לגישה למכשירים אלה ואז לאפשר לו לפעול. זה כל מה שיש בזה, אבל זה ישלם דיבידנד כדי להשקיע קצת זמן בלימוד כיצד לנצל בצורה הטובה ביותר את הנתונים שהם מוצאים ומציגים.

ברגע שזה פועל, Exabeam דורש מעט אימונים לשימוש. בהתחשב בקושי למצוא צוותי אבטחת מידע מיומנים, Exabeam עשויה לשלם עבור עצמה בשמירה על עלויות הצוות תחת שליטה. בכל מקרה, היא מבצעת במהירות רמות ניתוח שידרשו שנים של ידע אינטימי של הארגון וצוותו ללמוד. ובהתחשב במבול הנתונים המופק על ידי מרבית מוצרי SIEM, הוא יכול לראות אירועים שאחרת אי אפשר למצוא דרך אחרת. אחת הדרכים לחשוב על זה היא, שאם טארגט היה משתמש באקסאבאם, ייתכן שההפרה לעולם לא הייתה קורה, או אם זה היה קורה, זה היה מסתיים מייד.