Đánh giá và đánh giá Exabeam

Gần như tất cả các vi phạm dữ liệu lớn nhất ảnh hưởng đến chính phủ và doanh nghiệp tư nhân xảy ra khi ai đó đánh cắp thông tin bảo mật của người dùng được ủy quyền và sau đó sử dụng các thông tin đó để đánh cắp dữ liệu. Trong các vi phạm gần đây được công bố rộng rãi như Target, Sony và Văn phòng Quản lý nhân sự, các hệ thống phát hiện xâm nhập (IDS) được cài đặt tại các doanh nghiệp này đã thấy cuộc tấn công xảy ra, nhưng thật không may, không ai để ý. Nền tảng trí tuệ hành vi người dùng Exabeam (có giá khởi điểm 25.000 USD) được thiết kế để thu thập thông tin từ nhiều nguồn khác nhau, bao gồm Active Directory (AD) và phần mềm và thiết bị quản lý sự kiện và thông tin bảo mật (SIEM) của bạn và báo cáo hành vi đáng ngờ trong một thời trang kịp thời.

Exabeam, có thể được phân phối dưới dạng thiết bị vật lý hoặc ảo, hoạt động bằng cách kiểm tra lịch sử sự kiện của tổ chức của bạn để xác định những gì bình thường và sau đó kiểm tra các sự kiện lệch khỏi bình thường. Exabeam cũng có chi phí đăng ký thay đổi tùy theo số lượng người dùng và thiết bị được giám sát. Nếu chức năng này nghe có vẻ chuyên biệt, đó là vì nó là. Exabeam là phần mềm tuyệt vời, nhưng nó chỉ nên là một thành phần của hộp công cụ bảo mật mạng được trang bị tốt cùng với các công cụ khác như GFI LanGuard và Viewfinity.

Bắt đầu thiết lập

Để đánh giá này, tôi đã thử nghiệm Exabeam v1.7 dựa trên dữ liệu thực của công ty nhưng được ẩn danh trong môi trường đám mây. Sử dụng dữ liệu nhân viên thực tế sẽ thực tế hơn nhưng có lẽ đã vi phạm một số luật liên bang. Tương tự, Exabeam thường được chạy trên một thiết bị trong trung tâm dữ liệu của công ty, nhưng trong trường hợp này, tính thực tế đã đưa ra một cách tiếp cận khác.

Khi tôi bắt đầu chạy, Exabeam có thể nhanh chóng thực hiện phân tích. Chính xác thì nó sẽ hoạt động nhanh như thế nào phụ thuộc vào một số biến, bao gồm quy mô tổ chức của bạn và số tài sản của nó, nhưng Exabeam nói rằng thời gian thông thường cho phân tích đầu tiên là hai hoặc ba ngày. Tuy nhiên, phần mềm Exabeam có thể bắt đầu trả về kết quả gần như ngay lập tức nếu các sự kiện đáng ngờ xuất hiện.

Ngay cả khi đang học những gì bình thường trong doanh nghiệp của bạn, Exabeam vẫn có thể tìm thấy các sự kiện rõ ràng không bình thường. Ví dụ: nếu phần mềm phát hiện một nhân viên từ bộ phận bán hàng đăng nhập vào dữ liệu của bộ phận kỹ thuật với hàng tá phiên đồng thời, đó là một dấu hiệu tốt cho thấy cần phải điều tra.

Trên thực tế, Exabeam có thể phát hiện ra một số sự kiện tinh tế có thể bị bỏ qua khi kiểm tra được thực hiện bằng một số phương pháp khác. Ví dụ, giả sử, một nhân viên không bao giờ truy cập vào mạng công ty từ một địa điểm nổi tiếng với số lượng tin tặc cao (như Nga hoặc Ukraine) và làm như vậy từ máy tính mà họ chưa từng sử dụng trước đây. Nếu sau đó nhân viên bắt đầu tải xuống một lượng lớn dữ liệu, Exabeam sẽ gắn cờ phiên gần như ngay lập tức.

Nhưng nó không cần phải rõ ràng như vậy. Có lẽ Exabeam thông báo cho một nhân viên thực sự đăng nhập từ máy tính xách tay của công ty nhưng vào một thời điểm bất thường trong ngày hoặc có lẽ trong khi họ đang đi nghỉ. Sau đó, nó ghi lại rằng nhân viên truy cập các tệp trong một khu vực mà họ không làm việc. Exabeam có thể không gắn cờ đó là một hacker nhất định nhưng nó sẽ nhận thấy hoạt động bất thường và ghi điểm cho phù hợp.

Exabeam hoạt động bằng cách chấm điểm tất cả hoạt động của người dùng thông qua cái mà công ty gọi là Theo dõi người dùng trạng thái và sau đó tích lũy điểm số theo thời gian. Phần mềm sau đó trình bày một danh sách của mỗi sự kiện với một lời giải thích và điểm số. Các trang với dữ liệu bao gồm các liên kết tham khảo. Trong một ví dụ về phiên đáng ngờ, Exabeam đã tìm thấy một người sử dụng mạng riêng ảo (VPN) để đăng nhập từ Ukraine, lần đầu tiên sử dụng máy tính, với Nhà cung cấp dịch vụ Internet (ISP) không xác định và sử dụng IP không xác định trước đó địa chỉ nhà. Sau đó, Exabeam đã kiểm tra các đặc điểm như độ cao đặc quyền và quyền truy cập vào các vùng mạng mới. Với tất cả những thứ đó cộng với đầu vào từ các thiết bị bảo mật khác, Exabeam đã phát triển điểm số cao và cảnh báo cho nhóm bảo mật.

Exabeam cũng học hành vi của người dùng theo thời gian, xác định nhân viên và những người khác thường xuyên đi du lịch và tìm hiểu những tài nguyên họ truy cập và khi nào. Nó theo dõi những loại tài sản (như máy tính xách tay hoặc máy tính để bàn) mà một người sử dụng và nó có thể gắn cờ các sự kiện khi họ không sử dụng các máy tính đó.

Có lẽ cũng quan trọng không kém, Exabeam có thể gắn cờ các máy tính cụ thể dường như có số lượng sự kiện bảo mật cao bất thường, có lẽ cho thấy rằng chúng đang được sử dụng như một lối đi qua cửa sau được tạo bởi một số phần mềm độc hại.

Vì Exabeam giám sát hành vi của người dùng, nó cũng có thể tìm thấy nhân viên bóng tối. Đây là những nhân viên giả mạo được tạo ra bởi tin tặc có lẽ vài tháng trước đó như một cách để cấp quyền truy cập vào mạng của bạn trong một thời gian dài. Nhưng, vì những nhân viên đó không có hoạt động làm việc bình thường và thay vào đó xuất hiện trên mạng trong những giờ bất thường hoặc thực hiện các hoạt động bất thường, họ sẽ được gắn cờ để sự tồn tại của họ có thể được xác nhận.

Điều gì làm cho Exabeam rất hữu ích

Exabeam rất hữu ích vì nó có thể tương quan các sự kiện và hoạt động và sau đó hiển thị chúng sao cho rõ ràng đối với người quản lý bảo mật những gì đang diễn ra và tại sao người hoặc tài sản bị gắn cờ. Vì tất cả dữ liệu có sẵn trong nền, bạn có thể xem chi tiết xem một người cụ thể đang làm gì khiến họ bị gắn cờ và bạn có thể theo dõi các hoạt động của họ theo thời gian hoặc thông qua doanh nghiệp.

Vì Exabeam theo dõi các sự kiện và con người qua thời gian, nên có thể thấy chính xác khi nào một sự kiện đáng ngờ xảy ra, những gì xảy ra tại thời điểm đó và những sự kiện nào xảy ra sau đó. Bạn có thể xem một sự kiện bảo mật mở ra khi tin tặc xâm nhập hệ thống phòng thủ của bạn và xem cách họ thay đổi tên người dùng, đặc quyền nâng cao và dữ liệu được truy cập. Bạn cũng có thể xem chính xác dữ liệu họ truy cập.

Việc triển khai Exabeam yêu cầu bạn phải gắn thiết bị vào mạng của mình hoặc cài đặt trong máy ảo VMware (VM) nơi thiết bị có thể giám sát AD và SIEM của bạn. Bạn sẽ cần cung cấp thông tin cơ bản để truy cập vào các thiết bị đó và sau đó cho phép nó chạy. Đó là tất cả những gì có nhưng nó sẽ trả cổ tức để dành thời gian tìm hiểu cách sử dụng tốt nhất dữ liệu mà nó tìm thấy và trình bày.

Khi nó hoạt động, Exabeam yêu cầu đào tạo ít để sử dụng. Xem xét những khó khăn trong việc tìm kiếm nhân viên bảo mật CNTT được đào tạo, Exabeam có thể tự trả tiền để kiểm soát chi phí nhân viên. Trong mọi trường hợp, nó nhanh chóng thực hiện các cấp độ phân tích sẽ mất nhiều năm kiến ​​thức sâu sắc về tổ chức và nhân viên của nó để học hỏi. Và, xem xét cơn lũ dữ liệu được tạo ra bởi hầu hết các sản phẩm SIEM, nó có thể thấy các sự kiện mà không thể tìm thấy bất kỳ cách nào khác. Một cách để nghĩ về điều này là, nếu Target đã sử dụng Exabeam, vi phạm có thể chưa bao giờ xảy ra hoặc, nếu có, nó sẽ ngay lập tức kết thúc.