Огляд та рейтинг Exabeam

Майже всі найбільші порушення даних, що стосуються державних та приватних підприємств, трапляються, коли хтось викрадає облікові дані авторизованого користувача, а потім використовує ці дані для крадіжки даних. У таких широко розрекламованих останніх порушеннях, як Target, Sony та Управління управління персоналом, системи виявлення вторгнень (IDS), встановлені на цих підприємствах, бачили, що напад трапився, але, на жаль, ніхто не помітив. Платформа розвідки щодо поведінки користувачів Exabeam (яка починається з 25 000 доларів США) призначена для збору інформації з найрізноманітніших джерел, включаючи Active Directory (AD) та програмне забезпечення та прилади для захисту інформації та управління подіями (SIEM) та повідомляти про підозрілу поведінку в Тимчасова мода.

Exabeam, який можна поставити як фізичний або віртуальний пристрій, працює, вивчаючи історію подій вашої організації, щоб визначити, що є нормальним, а потім вивчає події, що відхиляються від нормальних. Exabeam також має вартість передплати, яка змінюється залежно від кількості користувачів, які відстежуються, та пристроїв, що відстежуються. Якщо ця функціональність звучить спеціалізовано, це так. Exabeam - це відмінне програмне забезпечення, але воно повинно бути лише одним із компонентів добре обладнаного ящика інструментів мережевої безпеки разом з іншими інструментами, такими як GFI LanGuard та Viewfinity.

Початок налаштування

Для цього огляду я перевірив Exabeam v1.7 на реальні, але анонімізовані корпоративні дані у хмарному середовищі. Використання реальних даних про працівників було б більш реалістичним, але, ймовірно, порушило б ряд федеральних законів. Аналогічно, Exabeam зазвичай працює на пристрої у корпоративному центрі обробки даних, але в цьому випадку практичність диктувала інший підхід.

Після того, як я розпочав запуск, Exabeam зміг швидко провести аналіз. Точно, наскільки швидко це буде працювати, залежить від ряду змінних, включаючи розмір вашої організації та її кількість активів, але Exabeam сказав, що звичайний час для першого аналізу - два-три дні. Однак програмне забезпечення Exabeam може почати повертати результати майже негайно, якщо з’являться підозрілі події.

Навіть навчаючись того, що нормально на вашому підприємстві, Exabeam вміє знаходити події, які явно не є нормальними. Наприклад, якщо програмне забезпечення виявляє працівника з відділу продажу, який увійшов до даних інженерного відділу за допомогою декількох десятків одночасних сеансів, це хороший показник того, що щось потребує розслідування.

Насправді Exabeam може нюхати деякі тонкі події, які можуть бути пропущені за допомогою експертизи, проведеної іншим методом. Скажімо, наприклад, працівник, який ніколи не здійснює вхід у корпоративну мережу з місця, відомого для великої кількості хакерів (таких як Росія чи Україна), і робить це з комп'ютера, яким він ніколи не користувався. Якщо працівник потім почне завантажувати велику кількість даних, Exabeam позначить сеанс майже миттєво.

Але це не повинно бути таким очевидним. Можливо, Exabeam помічає справжнього співробітника, який входить із свого корпоративного ноутбука, але в незвичну пору дня чи, можливо, вони перебувають у відпустці. Потім він записує, що працівник отримує доступ до файлів у тій області, де він не працює. Exabeam може не позначати це як певний хакер, але він помітить незвичну активність і відповідно оцінить її.

Exabeam працює, забиваючи всю активність користувачів завдяки тому, що компанія називає Stateful User Tracking, а потім накопичує бали з часом. Потім програмне забезпечення представляє список кожної події з поясненням та оцінкою. Сторінка з даними включає посилання на посилання. В одному прикладі підозрілого сеансу Exabeam знайшов людину, яка використовує віртуальну приватну мережу (VPN) для входу з України, вперше за допомогою комп’ютера, з невідомим постачальником послуг Інтернету (ISP) та використанням невідомого раніше IP адреса. Потім Exabeam вивчив такі характеристики, як підвищення привілеїв та доступ до нових мережевих зон. При всьому цьому плюс дані інших захисних пристроїв, Exabeam розробив підвищений бал і попередив команду безпеки.

Exabeam також вивчає поведінку користувачів з часом, визначає співробітників та інших, хто часто подорожує, та дізнається, до яких ресурсів вони отримують доступ та коли. Він відслідковує, які типи активів (наприклад, ноутбук або настільні комп'ютери), якими користується людина, і може позначати події, коли вони не використовують ці комп'ютери.

Можливо, настільки ж важливо, що Exabeam може позначити певні комп'ютери, які, як видається, мають надзвичайно велику кількість подій безпеки, можливо, вказують на те, що вони використовуються як шлях до задньої двері, створеної раніше деякими зловмисними програмами.

Оскільки Exabeam відстежує поведінку користувачів, він також може знайти тіньових працівників. Це підроблені співробітники, створені хакерами, можливо, місяцями раніше, як спосіб надати доступ до вашої мережі протягом тривалого періоду. Але, оскільки ці працівники не мають нормальної трудової діяльності і замість цього з’являються в мережі під час незвичних годин або виконують незвичні дії, вони будуть позначені прапорами, щоб підтвердити їх існування.

Що робить Exabeam настільки корисним

Exabeam є настільки корисним, оскільки він здатний співвідносити події та дії, а потім відображати їх, щоб менеджерам з безпеки було очевидно, що відбувається, і чому особа чи актив було позначено. Оскільки всі дані доступні у фоновому режимі, ви можете ознайомитись з інформацією про те, що конкретна людина робила, що спричинило їх позначення, і ви можете слідкувати за їх діяльністю протягом часу або через підприємство.

Оскільки Exabeam слідкує за подіями та людьми в часі, це дозволяє точно побачити, коли сталася підозріла подія, що сталося в той момент і які події пішли вслід. Ви можете спостерігати за розгортанням події безпеки, коли хакер проникає у вашу захисну систему, і спостерігати, як вони змінювали імена користувачів, підвищували привілеї та отримували доступ до даних. Ви також можете точно бачити, до яких даних вони отримували доступ.

Реалізація Exabeam вимагає або підключити прилад до своєї мережі, або встановити у віртуальній машині VMware (VM), де він може контролювати вашу AD та ваш SIEM. Вам потрібно буде надати основну інформацію для доступу до цих пристроїв, а потім дозволити їй працювати. Це все, що є, але це буде виплачувати дивіденди, щоб витратити якийсь час на навчання, як найкраще використовувати ті дані, які вони знаходять та представляють.

Після запуску Exabeam потребує невеликої підготовки для використання. Враховуючи складність у пошуку кваліфікованих працівників ІТ-безпеки, Exabeam може окупитися, тримаючи витрати на персонал під контролем. У будь-якому випадку, він швидко виконує рівні аналізу, які потребували б років глибоких знань про організацію та її співробітників. І, враховуючи затоплення даних, отриманих у більшості продуктів SIEM, він може бачити події, які інакше неможливо знайти іншим способом. Один із способів подумати над цим, якби Target використовував Exabeam, порушення може ніколи не статися або, якби воно було, воно б негайно закінчилося.