الجزء الثاني: إدارة سلوك المستخدم والكيان
(10 دقائق مناقشة وعرض)
جيف: مرحبًا بكم في 2nd حلقة IUWorld سلسلة قيادة الفكر في الأمن السيبراني مركز الخليج للأبحاث - مخاطر الحوكمة والامتثال. ترحيب كبير بكم جميعًا الذين انضموا إلينا في هذه الندوة عبر الإنترنت. 1st للجميع ، اسمحوا لي أن أقدم الفريق. اسمي هو جيف تشاو، مدير ، التحول الرقمي من IUWorld.
معي هنا اليوم Snehal Contractor من ستيلار سايبر. سنيهال هو نائب الرئيس المسؤول عن هندسة النظم والخدمات الفنية العالمية.
أهلا وسهلا بك Snehal لانضمامك إلينا IUWorld سلسلة قيادة الفكر. بعد ذلك ، أود أن أعرض IUWorld.
نحن 20 عامًا في مجال تكنولوجيا المعلومات والاتصالات ؛ متجذرة في هونج كونج وماكاو وما نسميه الآن منطقة الخليج الكبرى. يتنوع عملاؤنا من البنوك والمؤسسات المالية ، والحكومات والمنظمات غير الحكومية إلى المؤسسات التجارية ومنتجعات الألعاب. اليوم نحن متخصصون في خدمات الأمن السيبراني مع التركيز على ابتكارات مركز الخليج للأبحاث.
الطريقة التي نعمل بها ، من خلال هذه الابتكارات التكنولوجية ، هي صياغة دراسة الجدوى التنظيمية لمرونة الأعمال. أحب أن أسميها "مشروع تحويلي".
دعنا ننتقل إلى موضوع اليوم - تحليل سلوك كيان المستخدم (UEBA).
إدراكًا للأهمية المتزايدة للتكنولوجيا التنظيمية (Regtech) ، فإن أحد الجوانب الرئيسية هو النظر في سلوك المستخدم والكيان في مؤسسة لإدارة المخاطر الاحترازية والامتثال التنظيمي.
دعنا نلقي نظرة على تعريف UEBA. يتعلق الأمر حقًا بما إذا كان لدى المرء رؤية في مستخدمه / نظامه داخل بياناته ، أو مضيف الشبكة.
ما يعنيه ذلك هو كيف يكون المرء قادرًا على مراقبة الاتصالات من نظام إلى نظام ومن التفاعلات البشرية مع التطبيقات والقدرة على تحديد المطلعين الضارين / المهاجمين الخارجيين الذين يتسللون إلى مؤسساتهم.
هذه حالة استخدام لـ Regtech حول تحليلات الأنشطة - كيف يمكن للذكاء الاصطناعي المساعدة في استخلاص الأفكار من هذه السلوكيات (ما يعتبر طبيعيًا أو شذوذًا يمكن تحديده في الوقت المناسب).
من أجل الشفافية والاتساق والتوحيد القياسي ، تقدم المنظمة تفسيرًا سليمًا للوائح.
جيف: مرحباً سنيال، أريد اليوم معرفة رأيك في تحليل سلوك كيان المستخدم – UEBA — وكيف ترى تأثير ذلك على الحوكمة وإدارة المخاطر والامتثال
سنهل: جيف، شكراً لك على استضافة جلسة أخرى معنا. وأنا أوافقك الرأي تماماً. UEBA يُحدث تحولاً في مجال الأمن السيبراني، وهو في الواقع في صميم المشهد بسبب وضعنا الطبيعي الجديد.
- يقول عملاؤنا وشركاؤنا أن لديهم الآن العديد من المستخدمين البعيدين الجدد - تغيير كل الخطوط الأساسية وإنشاء موجهات هجوم جديدة
- والعديد من المؤسسات لديها المزيد من البنية التحتية السحابية و SaaS - مما يحد من الرؤية وفقدان التحكم
- مع هذه التحديات ، UEBA يضمن لك SOC يستطيع الفريق الكشف بسرعة أكبر عن الهجمات المعقدة - المستخدمون والكيانات - وهي في نهاية المطاف طريقة استراتيجية للبحث عن المهاجمين المعقدين.
جيف: هل تقول ذلك UEBA إستراتيجية جدًا مع وضعنا الطبيعي الجديد؟
سنهل: جيف الصحيح ، و UEBA يحتاج أكثر من SIEM تحتاج إلى سجلات، وبيانات حركة مرور الشبكة، وفهم التطبيقات، وفهم الحوسبة السحابية وخدمات البرمجيات كخدمة (SaaS). من خلال ربط البيانات عبر مجموعة أوسع من الأدوات، يمكنك استباقيًا تجميع الهجمات المعقدة عبر جميع البنية التحتية لتكنولوجيا المعلومات. SIEMتفتقر الأنظمة الأخرى وحدها إلى هذه الرؤية الشاملة وتجبرك على استخدام محللي الأمن الموهوبين لديك لكتابة الاستعلامات.
نرى AI - الذكاء الاصطناعي— كعامل تمكين رئيسي لمساعدة مجموعة أوسع من الشركات على الاستفادة من التقنيات المتقدمة SOC الحلول. تتميز الحواسيب بقدرتها على رصد الأنماط. والذكاء الاصطناعي وسيلة للمساعدة. SOC تتوسع الفرق، حتى تتمكن من التركيز على العمل الاستراتيجي.
جيف: أرى أن الذكاء الاصطناعي موضوع ساخن هنا في هونغ كونغ - قبل أن نتعمق فيه UEBA، هل يمكنك مشاركة التحديات المشتركة التي واجهها عملاؤك قبل مساعدتهم؟
سنهل: حتى مع وجود جميع الأدوات المناسبة ، شارك الكثير من عملائنا الفشل بدلاً من النجاح. القضية هي الرؤية - المنظمات تواجه المستخدمين والكيانات في كل مكان تقريبًا.
- في الغيوم
- على فرضية
- فى المنزل
- يمر عبر الشبكة المادية
سطح هجومك أكبر من أي وقت مضى - وديناميكي
جيف: أرى أن هذا هو السبب في أن الأدوات المنعزلة لا تساعد ، فأنت بحاجة إلى إلقاء نظرة على كل شيء وبين الأشياء أيضًا!
سنهل: جيف الصحيح ، نحن نسمي هذه الرؤية الشاملة ولدينا تقنية مستشعر حاصلة على براءة اختراع تضمن لك الرؤية عبر السحابة ونقاط النهاية والشبكة والمستخدمين - في أي مكان !!
جيف: بالنسبة إلى الوضع الطبيعي الجديد ، تعد قابلية التوسع والتشغيل البيني عبر البيئات غير المتجانسة أمرًا ضروريًا.
جيف: هل يمكنك أن تُظهر لجمهورنا فكرة الرؤية الشاملة - كيف يمكنك تتبع سلوك المستخدم أو الكيان؟
سنهل: جيف ، بالتأكيد دعني أفتح واجهة المستخدم الرسومية وألفت انتباهك إلى زر التجميع هذا. كما ترى على اليسار ، فإننا نستوعب الكثير والكثير من مصادر البيانات. على اليمين ، ترى أيضًا موصلات تساعدنا في جمع بيانات المستخدم والكيان من AWS و Microsoft365 و Google Cloud وكذلك البريد الإلكتروني و Syslogs والشبكة. من هذه البيانات ، نقوم باستخراج معلومات المستخدم والكيان. الآن ، اسمحوا لي أن أتعمق في الحدث. هنا ، يمكنني أن أوضح لك قوة سجلات Interflow الخاصة بنا ، والتي تلتقط كل شيء عن كل حادث لسلوك المستخدم والكيان.
نحن نجري فحصًا عميقًا للحزم - DPI - على جميع البيانات التي يتم إدخالها وهذا يساعدنا على رؤية المزيد في سطح الهجوم
يمكننا أن نرى هجمات أنفاق DNS. يمكننا إخبارك بالتطبيقات التي يتم الاستيلاء عليها. نقوم بدمج كل هذه البيانات مع معلومات التهديد من طرف ثالث مثل تحديد الموقع الجغرافي للتأكد من أن لديك صورة كاملة لتحليل الأمان.
جيف: Snehal ، مثير للإعجاب ، أرى أيضًا أنه مقروء وبالتالي أنا متأكد من أنه يمكنك البحث عن هذه المعلومات
سنهل: صحيح جيف ، لدينا بحيرة بيانات واحدة حيث يتم تخزين كل هذه البيانات الوصفية ونقوم بتحليل البيانات الضخمة عليها لمساعدتك في رؤية الاتجاهات - عندما يتغير سلوك المستخدم أو الكيان ، يسلط الذكاء الاصطناعي لدينا الضوء على هذا باعتباره اكتشافًا شاذًا بالغ الأهمية.
جيف: سنيهال يمكننا الآن التعمق في سلوك المستخدم ، أعتقد أن لديك بعض الأفكار المثيرة للاهتمام هناك.
سنهل: شكرا جيف ، نحن نفعل. لا يهاجمك المتسللون اليوم بالطرق التقليدية - وهذا هو المفتاح - نهج محيطي ، أو لم يعد نهج التقاط السجل يحميك. الآن ، يمكنهم الوصول إلى الأصول غير المرئية ويبدأون في جمع المعلومات الاستخبارية حول الأنظمة الأكثر أهمية من خلال الحركة الجانبية ، ثم يذهبون للحصول على معلومات أكثر قيمة.
جيف: هل يمكنك شرح المثال الموجود على الشريحة؟
سنهيل: بالتأكيد ، لنفترض أنك قمت بوضع علامة على رئيسك التنفيذي كشخص بالغ الأهمية ، ووجدت أنه قام بتسجيل الدخول في طوكيو ثم في سيدني بأستراليا بعد ذلك بساعتين. من الواضح أن هذا حدث سفر مستحيل ، ومع ذلك كان تسجيل دخوله صالحًا. ثم تراه يستخدم أوامر للوصول إلى تطبيق ، قل SSL للوصول إلى البيانات على خادم SQL.
جيف: لماذا يستخدم الرئيس التنفيذي SSL ولماذا يبحث عن بيانات SQL؟ هناك شيء مريب للغاية ومختلف عن سلوكه الطبيعي ، ولكن جميع الإجراءات الثلاثة لا تزال صالحة بناءً على كل ما يمكننا تأسيسه من الأدوات والبيانات الموجودة - أليس كذلك؟
سنهيل: بالضبط يا جيف، باختصار ما UEBA ما نحتاجه حقًا هو طريقة لجمع جميع أدواتك ومصادر البيانات معًا، ومعالجتها باستخدام الذكاء الاصطناعي للمساعدة في اكتشاف الأنماط، ومصممة خصيصًا للعثور على البيانات الصحيحة. نسمي هذا يفتح--XDR – الكشف والاستجابة الموسعة مع القدرة على التكامل مع أي نظام أو أداة أو مصدر بيانات. تمامًا كما قمنا بتعزيز جدران الحماية بـ SIEMلذا، فقد حان الوقت لإعادة النظر في كيفية بناء SOC. المفتاح هو مجموعة من الأدوات - أو - منصة ذكية.
جيف: لذا فإن الطريقة التي أسمع بها هي ، إنها تتعلق بسلوك المستخدم برؤية واسعة ، يبدو أن هذه طريقة رائعة للكشف عن الاختراق؟
سنهل: هذا بالضبط جيف صحيح.
جيف: شكراً سنيال، هل يمكننا إلقاء نظرة أعمق على شركة ستيلار سايبر؟ Open XDR المنصة؟ أرنا بالتحديد كيف يمكنك تحديد الأصول الحيوية ومعرفة ما إذا كانت مصابة؟
سنهل: بالتأكيد يا جيف، أولاً، لقد اكتشفت للتو خادمًا مصابًا، لقد تم اختراقه. UEBA ساعدت هذه الإمكانية في تحديد الإصابة. سأمنع الجهاز من إرسال البيانات. استخدمت مكتبة البحث عن التهديدات لدينا لتفعيل استجابة لإغلاق المنفذ. الآن، لنُنهِ هذه الحالة بالخطوة الأخيرة، وهي التحقق مما إذا كان الخادم يُصيب أجهزة أخرى، كما ناقشنا سابقًا، فهذه طريقة شائعة يستخدمها المخترقون لإصابة أجهزة أخرى في بيئتك من خلال الانتشار الجانبي. كما ترى، هناك العديد من الأجهزة الأخرى التي تحتاج إلى فحص.
جيف: شكرًا Snehal ، أنا مقتنع أنني أستطيع أن أرى أنك فعلت الكثير حقًا وكان ذلك بسيطًا ولم يستغرق سوى بضع دقائق.
جيف: الموضوع الأخير الذي أود تغطيته هو الامتثال. يحتاج الكثير من عملائنا إلى تمرير مبادرات الامتثال والحوكمة سنويًا أو حتى بشكل متكرر. كيف يدعم النظام الأساسي الخاص بك التقارير؟
سنهل: نقطة مهمة جيف لقد وضعنا الكثير من الإمكانات في محرك التقارير لدينا كما ترون هنا. لدينا العديد من القوالب المعدة مسبقًا ، على سبيل المثال ، التوافق مع PCI والامتثال CIS والامتثال HIPAA
جيف: هل يمكنك بسهولة إنشاء تقارير العملاء؟
سنهل: بالتأكيد جيف يمكننا إنشاء تقرير عميل من أي لوحة معلومات لدينا في النظام الأساسي ، وهنا يمكنك أن ترى أن لدي جميع حالات فشل تسجيل دخول المستخدم من مكتبة Threat Hunting Library. يمكنني بسهولة تحرير لوحة القيادة وإنشاء تقرير عميل منها
جيف: سنهال ، أعتقد أننا بحاجة إلى إنهاء هذا ، هل يمكنك تلخيص مناقشتنا اليوم؟
سنهل: بالتأكيد يا جيف، أعتقد أن أهم ما يمكنني قوله هو أن الشفافية هي مفتاح النجاح في مجال الأمن السيبراني. لا يمكنك إدارة ما لا تراه، وهذا يشمل جميع جوانب الهجوم - السحابة، ونقاط النهاية، والشبكة، والمستخدمين - وكما أوضحنا اليوم، يُعد سلوك المستخدمين والكيانات استراتيجيًا لضمان قدرتك على رصد الهجمات المعقدة. تتميز حلول Stellar Cyber بقدرتها على تقديم رؤى جديدة للأدوات وبيانات القياس عن بُعد التي تثق بها بالفعل، فهي حلول سحابية أصلية وتعتمد على واجهات برمجة تطبيقات مفتوحة. لإدارة حوكمة الأمن السيبراني، والمخاطر، والامتثال - UEBA يضمن لك ذلك سد النقاط العمياء التي تسمح بها جذوع الأشجار وحدها.
جيف: شكرًا Snehal ، أعتقد أن هذه الجلسة ساعدت العملاء على رؤية أنه يمكنهم بسهولة تتبع الأصول والمستخدمين المهمين عبر السحابة ونقاط النهاية والشبكة - مما يساعد على تبسيط تقارير الحوكمة والمخاطر والامتثال - .. حتى المرة القادمة
في الختام ، لتحويل الأمن السيبراني إلى منصة مركزية وذكية قادرة على العمل تحت خط الأساس ، وتغطية النقاط العمياء ، وإكمال ودمج جميع الأدوات المتاحة وتصفية الأحداث والحوادث وتطبيعها وربطها في تنبيهات مهمة للكشف عن الإجراءات والاستجابة لها.
إنها رحلة مستمرة!
شكرا جزيلا لك.
