Parte II: Gestión del comportamiento de usuarios y entidades
(Debate y demostración de 10 minutos)
Jeff: Bienvenido a los 2nd Episodio de IUMundo Serie Thought Leadership in Cybersecurity GRC - Governance Risk & Compliance. Una gran bienvenida a todos los que se han unido a nosotros en este seminario web. 1st de todos, permítanme presentarles al equipo. Me llamo jeff chau, director, transformación digital de IUWorld.
Conmigo aqui hoy es Snehal Contractor de Stellar Cyber. Snehal es el vicepresidente responsable de servicios técnicos e ingeniería de sistemas en todo el mundo.
Bienvenido Snehal por unirse a nosotros IUMundo Serie de liderazgo intelectual. A continuación, me gusta presentar IUMundo.
Llevamos 20 años en el negocio de las TIC; arraigado en HK y Macao y lo que ahora llamamos el Área de la Bahía Mayor. Nuestra clientela abarca desde bancos e instituciones financieras, gobiernos y ONG hasta empresas comerciales y complejos de juegos. Hoy nos especializamos en servicios de ciberseguridad con foco en innovaciones GRC.
La forma en que trabajamos es, a través de estas innovaciones tecnológicas, para elaborar un caso empresarial organizacional para la resiliencia empresarial. Me gusta llamarlo "Proyecto transformacional".
Pasemos al tema de hoy: análisis del comportamiento de las entidades de usuario (UEBA).
Reconociendo la creciente importancia de la Tecnología Regulatoria (Regtech), uno de los aspectos clave es analizar el comportamiento del usuario y la entidad en una organización para la gestión prudencial de riesgos y el cumplimiento normativo.
Echemos un vistazo a la definición de UEBA. Realmente se trata de si uno tiene visibilidad de su usuario / sistema dentro de sus datos, host de red.
Lo que significa es cómo se pueden monitorear las comunicaciones de sistema a sistema y de las interacciones humanas con las aplicaciones y la capacidad de identificar a los internos / atacantes externos malintencionados que se infiltran en sus organizaciones.
Este es un caso de uso de Regtech sobre el análisis de actividades: cómo la IA puede ayudar a extraer conocimientos de estos comportamientos (lo que se considera normal o anomalía que se pueda identificar de manera oportuna).
De hecho, es por transparencia, coherencia y estandarización cómo la organización ofrece una interpretación sólida de las regulaciones.
JEF: Hola Snehal, hoy quiero saber tu opinión sobre el análisis del comportamiento de las entidades de usuario. UEBA — y cómo ve que transformará la gobernanza, el riesgo y el cumplimiento
SNEHAL: Jeff, gracias por organizar otra sesión con nosotros. Y estoy totalmente de acuerdo. UEBA está transformando la ciberseguridad y, de hecho, está en el centro del escenario debido a nuestra nueva normalidad.
- Nuestros clientes y socios dicen que ahora tienen muchos nuevos usuarios remotos, cambiando todas sus líneas de base y creando nuevos vectores de ataque.
- Y muchas organizaciones tienen aún más infraestructura de nube y SaaS, lo que potencialmente limita la visibilidad y la pérdida de control.
- Con estos desafíos, UEBA asegura su SOC El equipo puede descubrir más rápidamente ataques complejos: usuarios y entidades, al final del día, una forma estratégica de buscar atacantes complejos.
JEF: Entonces estas diciendo eso UEBA es bastante estratégico con nuestra nueva normalidad?
SNEHAL: Corregir Jeff, y UEBA necesita más que SIEM Registros, necesita tráfico de red y conocimiento de aplicaciones, nube y SaaS. Al correlacionar datos con un conjunto más amplio de herramientas, puede identificar proactivamente ataques complejos en toda la infraestructura de TI. SIEMLos sistemas por sí solos carecen de esta visibilidad integral y lo obligan a utilizar a sus talentosos analistas de seguridad para escribir consultas.
Vemos AI - inteligencia artificial— como un facilitador clave para ayudar a una comunidad más amplia de empresas a aprovechar las tecnologías avanzadas SOC Soluciones. Las computadoras son buenas para detectar patrones. La IA es una forma de ayudar. SOC Los equipos escalan, de modo que pueden centrarse en el trabajo estratégico.
JEF: Ya veo, la IA es un tema candente aquí en Hong Kong, antes de profundizar en UEBA, ¿puede compartir los desafíos comunes que tenían sus clientes antes de que usted los ayudara?
SNEHAL: Incluso con todas las herramientas adecuadas en su lugar, muchos de nuestros clientes compartieron fracasos en lugar de éxitos. El problema es la visibilidad: las organizaciones se enfrentan a usuarios y entidades prácticamente en todas partes.
- EN LA NUBE
- En sus instalaciones
- En casa
- Pasando por la red física
Su superficie de ataque es más grande y dinámica que nunca
JEF: Veo que esta es la razón por la que las herramientas en silos no ayudarán, ¡debes mirar todo y también entre las cosas!
SNEHAL: Correcto Jeff, a esto lo llamamos visibilidad integral y tenemos una tecnología de sensor patentada que le garantiza ver en la nube, los terminales, la red y los usuarios, ¡en cualquier lugar!
JEF: Entonces, para la nueva normalidad, la escalabilidad y la interoperabilidad en entornos heterogéneos son esenciales.
JEF: ¿Puede mostrarle a nuestra audiencia esta idea de visibilidad integral? ¿Cómo se realiza un seguimiento del comportamiento de un usuario o entidad?
SNEHAL: Jeff, déjame abrir la GUI y llamar tu atención sobre este botón COLLECT. Como puede ver a la izquierda, ingerimos una gran cantidad de fuentes de datos. A la derecha, también verá conectores que nos ayudan a recopilar datos de usuarios y entidades de AWS, Microsoft365, Google Cloud y también correo electrónico, Syslogs, red. A partir de estos datos, extraemos información de usuarios y entidades. Ahora, permítanme profundizar en un evento. Aquí, puedo mostrarle el poder de nuestros registros de Interflow, que capturan todo sobre cada incidente de comportamiento de usuario y entidad.
Realizamos una inspección profunda de paquetes (DPI) en todos los datos ingeridos y eso nos ayuda a ver aún más su superficie de ataque.
Podemos ver ataques de tunelización de DNS. Podemos decirle qué aplicaciones están siendo secuestradas. Fusionamos todos estos datos con inteligencia de amenazas de terceros, como la geolocalización, para garantizar que tenga una imagen completa para el análisis de seguridad.
JEF: Snehal, impresionante, también veo que es legible y por eso estoy seguro de que puedes buscar en esta información.
SNEHAL: Correcto Jeff, tenemos un único lago de datos donde se almacenan todos estos metadatos y realizamos grandes análisis de datos para ayudarlo a ver las tendencias; cuando cambia el comportamiento de un usuario o entidad, nuestra IA lo destaca como una detección anómala crítica.
JEF: Snehal, ahora podemos profundizar en el comportamiento del usuario, creo que tiene algunas ideas interesantes allí.
SNEHAL: Gracias Jeff, lo hacemos. Los piratas informáticos de hoy en día no lo atacan de las formas tradicionales, esto es clave, un enfoque de perímetro o un enfoque de captura de registros ya no lo protege. Ahora, obtienen acceso a activos de bajo perfil y comienzan a recopilar inteligencia sobre sistemas más críticos a través del movimiento lateral, luego buscan información más valiosa.
JEF: ¿Puede explicar el ejemplo de la diapositiva?
SNHEAL: Claro, digamos que ha etiquetado a su CEO como una persona crítica, y ve que inició sesión en Tokio y luego en Sydney Australia dos horas después. Ese es claramente un evento de viaje imposible, pero su inicio de sesión fue válido. Luego lo ve usando comandos para acceder a una aplicación, digamos SSL para acceder a los datos en un servidor SQL.
JEF: ¿Por qué el CEO estaría usando SSL y por qué estaría buscando datos SQL? Algo es muy sospechoso y diferente a su comportamiento normal, pero las tres acciones siguen siendo válidas en función de todo lo que podamos establecer a partir de las herramientas y los datos existentes, ¿verdad?
SNHEAL: Exactamente Jeff, para resumir lo que UEBA Lo que realmente necesita es una forma de reunir todas sus herramientas y feeds, y procesarlos con IA para ayudar a encontrar patrones, y especialmente diseñados para encontrar los datos CORRECTOS. A esto le llamamos Abierto--XDR –detección y respuesta extendidas con la capacidad de integrarse con cualquier sistema, herramienta o fuente de datos. Así como mejoramos los firewalls con SIEMs, es hora de reconsiderar cómo construimos una SOC. Una colección de herramientas, o una plataforma inteligente, es la clave.
JEF: Entonces, la forma en que escucho esto es que se trata del comportamiento del usuario con una amplia visibilidad, que parece ser una excelente manera de descubrir un truco.
SNEHAL: Eso es exactamente cierto Jeff.
JEF: Gracias Snehal, ¿podemos analizar más a fondo el programa Abrir de Stellar Cyber? XDR ¿Plataforma? Muéstrenos específicamente cómo identificar un activo crítico y ver si está infectado.
SNEHAL: Claro, Jeff. Primero, acabo de identificar un servidor infectado. Ha sido hackeado. Nuestro... UEBA La capacidad ayudó a identificar la infección. Bloquearé el dispositivo para que no envíe tráfico. Usé nuestra biblioteca de búsqueda de amenazas para activar una respuesta y cerrar el puerto. Ahora, terminemos este caso práctico con el paso final: verificar si el servidor está infectando otros dispositivos. Como mencionamos al principio, esta es una forma común en que los hackers infectan otros dispositivos en su entorno mediante el movimiento lateral. Muchos otros dispositivos requieren atención.
JEF: Gracias Snehal, estoy convencido de que puedo ver que realmente hiciste mucho y eso fue simple y realmente solo tomó unos minutos.
JEF: El último tema que me gustaría cubrir es Cumplimiento. Muchos de nuestros clientes necesitan aprobar iniciativas de gobernanza y cumplimiento anualmente o incluso con más frecuencia. ¿Cómo admite su plataforma los informes?
SNEHAL: Gran punto, Jeff, hemos puesto muchas capacidades en nuestro motor de informes, como puede ver aquí. Tenemos muchas plantillas prediseñadas, por ejemplo, cumplimiento de PCI, cumplimiento de CIS y cumplimiento de HIPAA.
JEF: ¿Puede crear informes de clientes fácilmente?
SNEHAL: Seguro, Jeff, podemos crear un informe del cliente desde cualquier panel que tengamos en la plataforma, aquí puede ver que tengo todas las fallas de inicio de sesión de los usuarios de la Biblioteca de Threat Hunting. Puedo editar fácilmente el panel y crear un informe de cliente a partir de él.
JEF: Snehal, creo que tenemos que terminar con esto, ¿puede resumir nuestra discusión de hoy?
SNEHAL: Claro, Jeff, creo que lo más importante que puedo decir es que la visibilidad es clave para el éxito en seguridad. No se puede gestionar lo que no se ve, y eso implica toda la superficie de ataque: nube, endpoint, red y usuario. Como ambos destacamos hoy, el comportamiento de usuarios y entidades es estratégico para garantizar la detección de ataques complejos. La ventaja de Stellar Cyber es que podemos aportar nuevos conocimientos a las herramientas y la telemetría en las que ya confías; es nativo de la nube y está basado en API abiertas. Para la gobernanza, el riesgo y el cumplimiento de la ciberseguridad... UEBA asegura que cierres los puntos ciegos que los troncos por sí solos dejarían pasar.
JEF: Gracias Snehal, creo que esta sesión ayudó a los clientes a ver que pueden rastrear fácilmente los activos y usuarios críticos en la nube, los puntos finales y la red, lo que ayuda a simplificar los informes de gobernanza, riesgo y cumplimiento ... hasta la próxima
Para concluir, para transformar la ciberseguridad en una plataforma centralizada e inteligente que puede, por debajo de la línea de base, ocultar puntos ciegos, complementar e integrar todas las herramientas disponibles y filtrar, normalizar y correlacionar eventos e incidentes en alertas críticas para acciones de detección y respuesta.
¡Es un viaje continuo!
Muchas gracias.
