Часть II: Управление поведением пользователей и сущностей
(10-минутное обсуждение и демонстрация)
Джефф: Добро пожаловать в 2nd Эпизод из IUМир Серия «Интеллектуальное лидерство» в области кибербезопасности GRC - Управление рисками и соблюдение требований. Добро пожаловать всем, кто присоединился к нам на этом вебинаре. 1st всего, позвольте мне представить команду. Меня зовут Джефф Чау, директор по цифровой трансформации от IUWorld.
Со мной сегодня здесь Snehal Contractor от Stellar Cyber. Снехаль - вице-президент, отвечающий за всемирное системное проектирование и техническое обслуживание.
Добро пожаловать, Снехаль, за то, что присоединился к нам IUМир Серия «Мыслительное лидерство». Далее я хотел бы представить IUМир.
Мы 20 лет в бизнесе ИКТ; уходит своими корнями в Гонконг и Макао и в то, что мы теперь называем Большим заливом. Наши клиенты варьируются от банков и финансовых учреждений, правительств и НПО до коммерческих предприятий и игровых курортов. Сегодня мы специализируемся на услугах кибербезопасности с акцентом на инновации GRC.
Мы работаем, используя эти технологические инновации, чтобы разработать организационное экономическое обоснование устойчивости бизнеса. Я люблю называть это «Трансформационный проект».
Перейдем к сегодняшней теме - анализ поведения пользовательских сущностей (UEBA).
Признавая растущую важность регуляторных технологий (Regtech), одним из ключевых аспектов является изучение поведения пользователей и организаций в организации на предмет пруденциального управления рисками и соблюдения нормативных требований.
Давайте посмотрим на определение UEBA. Это действительно о том, есть ли у кого-то видимость своего пользователя / системы в своих данных, сетевом хосте.
Это означает, что можно отслеживать межсистемные коммуникации и взаимодействие человека с приложениями, а также способность выявлять злонамеренных внутренних / внешних злоумышленников, проникающих в их организации.
Это вариант использования Regtech по аналитике действий - как ИИ может помочь извлечь понимание из этого поведения (что считается нормальным или аномальным, которое можно своевременно выявить).
Это действительно для прозрачности, последовательности и стандартизации того, как организация обеспечивает правильную интерпретацию правил.
ДЖЕФФ: Здравствуйте, Снехал! Сегодня я хотел бы узнать ваше мнение об анализе поведения пользовательских сущностей. UEBA — и как, по вашему мнению, это повлияет на управление, риски и соблюдение нормативных требований.
СНЕХАЛ: Джефф, спасибо, что снова провели для нас сессию. И я полностью с тобой согласен. UEBA Это меняет кибербезопасность и, по сути, находится в центре внимания именно из-за нашей новой реальности.
- Наши клиенты и партнеры говорят, что теперь у них много новых удаленных пользователей, которые меняют все ваши базовые параметры и создают новые векторы атак.
- И многие организации имеют еще больше облачной и SaaS-инфраструктуры, что потенциально ограничивает видимость и потерю контроля.
- С этими проблемами, UEBA гарантирует ваш SOC Команда может быстрее выявлять сложные атаки — в конечном итоге, это стратегический способ поиска сложных злоумышленников, как пользователей, так и сущностей.
ДЖЕФФ: Так ты говоришь, что UEBA довольно стратегически важна наша новая нормальность?
СНЕХАЛ: Правильный Джефф, и UEBA нужно больше, чем SIEM Для анализа журналов вам необходимы данные о сетевом трафике, а также информация о приложениях, облачных сервисах и SaaS-платформах. Сопоставляя данные из более широкого набора инструментов, вы можете заблаговременно собирать воедино информацию о сложных атаках на всю ИТ-инфраструктуру. SIEMОдних только таких систем недостаточно для обеспечения всесторонней видимости, и они вынуждают вас привлекать талантливых аналитиков по безопасности для написания запросов.
Мы видим, AI - искусственный интеллект— как ключевой фактор, помогающий более широкому кругу компаний воспользоваться преимуществами передовых технологий. SOC решения. Компьютеры хорошо распознают закономерности. Искусственный интеллект — это способ помочь. SOC Команды масштабируются, что позволяет им сосредоточиться на стратегической работе.
ДЖЕФФ: Я вижу, ИИ - горячая тема здесь, в Гонконге. Прежде чем мы углубимся в UEBAМожете ли вы рассказать об общих проблемах, с которыми сталкивались ваши клиенты до того, как вы им помогли?
СНЕХАЛ: Даже со всеми необходимыми инструментами многие наши клиенты разделяли скорее неудачи, чем успех. Проблема в видимости - организации сталкиваются с пользователями и объектами практически повсюду.
- В облаке
- Помещение
- Дома
- Прохождение через физическую сеть
Ваша поверхность атаки больше, чем когда-либо, и динамична
ДЖЕФФ: Я понимаю, поэтому разрозненные инструменты не помогут, вам нужно смотреть во всем и между вещами тоже!
СНЕХАЛ: Правильный Джефф, мы называем это всеобъемлющей видимостью и имеем запатентованную сенсорную технологию, которая гарантирует, что вы видите все в облаке, конечных точках, сети и пользователях - в любом месте !!
ДЖЕФФ: Тогда для нового стандарта важны масштабируемость и возможность взаимодействия в гетерогенных средах.
ДЖЕФФ: Можете ли вы показать нашей аудитории эту идею всеобъемлющей видимости - как вы отслеживаете поведение пользователя или объекта?
СНЕХАЛ: Джефф, позвольте мне открыть графический интерфейс и обратить ваше внимание на эту кнопку СОБРАТЬ. Как вы можете видеть слева, мы получаем много-много источников данных. Справа вы также видите соединители, которые помогают нам собирать данные о пользователях и объектах из AWS, Microsoft365, Google Cloud, а также электронную почту, системные журналы и сети. Из этих данных мы извлекаем информацию о пользователях и объектах. Теперь позвольте мне углубиться в событие. Здесь я могу показать вам возможности наших записей Interflow, которые фиксируют все о каждом инциденте поведения пользователя и сущности.
Мы выполняем Deep Packet Inspection - DPI - для всех полученных данных, и это помогает нам еще больше увидеть вашу поверхность атаки
Мы видим атаки DNS-туннелирования. Мы можем сказать вам, какие приложения были взломаны. Мы объединяем все эти данные со сторонней информацией об угрозах, такой как геолокация, чтобы у вас была полная картина для анализа безопасности.
ДЖЕФФ: Snehal, впечатляет, я также вижу, что это читабельно, и поэтому я уверен, что вы можете искать по этой информации
СНЕХАЛ: Правильно Джефф, у нас есть единое озеро данных, в котором хранятся все эти метаданные, и мы проводим анализ больших данных, чтобы помочь вам увидеть тенденции - когда изменяется поведение пользователя или объекта, наш ИИ выделяет это как критическое аномальное обнаружение.
ДЖЕФФ: Снехаль, можем ли мы теперь углубиться в поведение пользователей, я думаю, у вас есть некоторые интересные идеи.
СНЕХАЛ: Спасибо, Джефф, мы знаем. Современные хакеры не атакуют вас традиционными способами - это ключевой момент - подход по периметру, или подход с захватом журналов больше не защищает вас. Теперь они получают доступ к низкопрофильным активам и начинают собирать информацию о более важных системах посредством бокового перемещения, а затем переходят к более ценной информации.
ДЖЕФФ: Вы можете объяснить пример на слайде?
СНИЛ: Конечно, допустим, вы отметили своего генерального директора как критически настроенного человека, и вы просто видите, что он вошел в систему в Токио, а затем в Сиднее, Австралия, два часа спустя. Это явно невозможное путешествие, но его логин был действителен. Затем вы видите, как он использует команды для доступа к приложению, скажем, SSL для доступа к данным на сервере SQL.
ДЖЕФФ: Зачем генеральному директору использовать SSL и зачем ему искать данные SQL? Что-то очень подозрительное и отличается от его обычного поведения, но все три действия по-прежнему действительны на основе всего, что мы можем установить из существующих инструментов и данных, верно?
СНИЛ: В общем, Джефф, если подытожить, то именно так. UEBA Нам действительно нужен способ объединить все ваши инструменты и потоки данных, обработать их с помощью ИИ, чтобы помочь выявить закономерности, и специально разработанный для поиска ПРАВИЛЬНЫХ данных. Мы называем это так: Открыть--XDR –расширенное обнаружение и реагирование с возможностью интеграции с любой системой, инструментом или потоком данных. Точно так же, как мы дополнили межсетевые экраны SIEMПора переосмыслить подход к строительству. SOC. Набор инструментов или интеллектуальная платформа - вот ключ.
ДЖЕФФ: Насколько я понимаю, речь идет о поведении пользователей с широкой видимостью, что кажется отличным способом раскрыть взлом?
СНЕХАЛ: Совершенно верно Джефф.
ДЖЕФФ: Спасибо, Снехал, можем ли мы подробнее изучить компанию Stellar Cyber? Open XDR Платформа? Покажите, пожалуйста, как вы можете идентифицировать критически важный актив и проверить, заражен ли он?
СНЕХАЛ: Конечно, Джефф. Во-первых, я только что обнаружил зараженный сервер, он был взломан. Наш UEBA Эта функция помогла выявить заражение. Я заблокирую передачу трафика с устройства. Я использовал нашу библиотеку для поиска угроз, чтобы запустить ответную реакцию и закрыть порт. Теперь давайте завершим этот пример последним шагом, проверив, заражает ли сервер другие устройства, как мы обсуждали ранее. Это распространенный способ заражения других устройств в вашей среде хакерами путем горизонтального перемещения. Видите, теперь многие другие устройства нуждаются во внимании.
ДЖЕФФ: Спасибо, Снехаль, я убежден, что вижу, что ты действительно много сделал, и это было просто и на самом деле заняло всего несколько минут.
ДЖЕФФ: Последняя тема, которую я хотел бы затронуть, - это соответствие. Многим нашим клиентам необходимо проходить инициативы по соблюдению нормативных требований и корпоративному управлению ежегодно или даже чаще. Как ваша платформа поддерживает отчетность?
СНЕХАЛ: Отличный момент, Джефф, мы добавили много возможностей в нашу систему отчетов, как вы можете видеть здесь. У нас есть много готовых шаблонов, например, соответствие требованиям PCI, соответствие CIS и соответствие HIPAA.
ДЖЕФФ: Можете ли вы легко создавать отчеты о клиентах?
СНЕХАЛ: Конечно, Джефф, мы можем создать отчет о клиенте из любой панели инструментов, которая есть на платформе, здесь вы можете видеть, что у меня все неудачные попытки входа в систему из библиотеки Threat Hunting. Я могу очень легко редактировать дашборд и создавать на его основе отчет о клиентах.
ДЖЕФФ: Снехаль, я думаю, нам нужно подвести итоги, не могли бы вы подвести итоги нашей сегодняшней дискуссии?
СНЕХАЛ: Конечно, Джефф, я думаю, самое важное, что я могу сказать, это то, что видимость — ключ к успеху в сфере безопасности. Вы не можете управлять тем, чего не видите, — а это значит, что нужно контролировать всю поверхность атаки: облако, конечные точки, сеть и пользователей. Как мы сегодня оба подчеркнули, поведение пользователей и объектов имеет стратегическое значение для обеспечения возможности отслеживания сложных атак. Преимущество Stellar Cyber заключается в том, что мы можем привнести новые аналитические данные в инструменты и телеметрию, которым вы уже доверяете; это облачная платформа с открытым API. Для управления кибербезопасностью, рисками и соответствием требованиям — UEBA Это гарантирует, что вы закроете слепые зоны, через которые одни только бревна могут пройти.
ДЖЕФФ: Спасибо, Снехал, я думаю, что эта сессия помогла клиентам увидеть, что они могут легко отслеживать критически важные активы и пользователей в облаке, на конечных точках и в сети, что помогло упростить управление, отчетность о рисках и соблюдении требований ... до следующего раза
В заключение, для преобразования кибербезопасности в централизованную и интеллектуальную платформу, которая способна скрывать слепые пятна, дополнять и интегрировать все доступные инструменты, а также фильтровать, нормализовать и соотносить события и инциденты в критические предупреждения для обнаружения и реагирования.
Это сплошное путешествие!
Большое спасибо.
