भाग II: उपयोगकर्ता और इकाई व्यवहार प्रबंधन
(10 मिनट की चर्चा और डेमो)
जेफ: 2 में आपका स्वागत हैnd का एपिसोड IWWorld साइबरस्पेस जीआरसी में सोचा नेतृत्व श्रृंखला - शासन जोखिम और अनुपालन। आप सभी का एक बड़ा स्वागत है जो इस वेबिनार में हमारे साथ शामिल हुए हैं। 1st सभी, मैं टीम का परिचय देता हूं। मेरा नाम है जेफ चौ, निदेशक, IUWorld से डिजिटल परिवर्तन।
मेरे साथ आज यहां है Snehal Contractor स्टेलर साइबर से। स्नेहल विश्वव्यापी सिस्टम इंजीनियरिंग और तकनीकी सेवाओं के लिए जिम्मेदार उपाध्यक्ष हैं।
आपका साथ देने के लिए आपका स्वागत है स्नेहल IWWorld थॉट लीडरशिप सीरीज़। आगे, मुझे परिचय देना अच्छा लगता है IWWorld.
हम आईसीटी व्यवसाय में 20 साल हैं; एचके और मकाऊ में निहित है और जिसे अब हम ग्रेटर बे एरिया कहते हैं। हमारे ग्राहक बैंकों और वित्तीय संस्थानों, सरकार और गैर सरकारी संगठनों से लेकर व्यावसायिक उद्यमों और गेमिंग रिसॉर्ट्स तक हैं। आज हम जीआरसी नवाचारों पर ध्यान देने के साथ साइबर सुरक्षा सेवाओं में विशेषज्ञ हैं।
जिस तरह से हम काम करते हैं, इन प्रौद्योगिकी नवाचारों के माध्यम से, व्यापार लचीलापन के लिए संगठनात्मक व्यापार मामले को शिल्प करना है। मुझे इसे कॉल करना पसंद है "परिवर्तनकारी परियोजना".
चलिए आज के विषय पर चलते हैं - उपयोगकर्ता इकाई व्यवहार विश्लेषण (UEBA).
विनियामक प्रौद्योगिकी (Regtech) के बढ़ते महत्व को पहचानते हुए, एक प्रमुख पहलू विवेकपूर्ण जोखिम प्रबंधन और नियामक अनुपालन के लिए एक संगठन में उपयोगकर्ता और इकाई व्यवहार को देखना है।
की परिभाषा पर एक नजर डालते हैं UEBA। यह वास्तव में इस बारे में है कि क्या किसी को अपने डेटा, नेटवर्क होस्ट के भीतर अपने उपयोगकर्ता / सिस्टम में दृश्यता है या नहीं।
इसका मतलब यह है कि कैसे एक सिस्टम-टू-सिस्टम संचार और अनुप्रयोगों के साथ मानव बातचीत से और दुर्भावनापूर्ण अंदरूनी / बाहरी हमलावरों की पहचान करने की क्षमता उनके संगठनों में घुसपैठ करने में सक्षम है।
यह एक उपयोग मामला है Regtech गतिविधियों के विश्लेषण पर - कैसे AI इन व्यवहारों से अंतर्दृष्टि प्राप्त करने में मदद कर सकता है (जिसे सामान्य या विसंगति माना जाता है जिसे समय पर पहचाना जा सकता है)।
यह वास्तव में पारदर्शिता, स्थिरता और मानकीकरण के लिए है कि संगठन नियमों की ध्वनि व्याख्या कैसे करता है।
जेफ: नमस्कार स्नेहल, आज मैं यूजर एंटिटी बिहेवियर विश्लेषण पर आपके विचार जानना चाहता हूँ। UEBA और आप इसे शासन, जोखिम और अनुपालन में किस प्रकार परिवर्तन लाते हुए देखते हैं।
स्नेहल: जेफ, हमारे साथ एक और सत्र आयोजित करने के लिए धन्यवाद। और मैं आपसे पूरी तरह सहमत हूँ। UEBA साइबर सुरक्षा में बदलाव ला रहा है और वास्तव में, हमारे नए सामान्य हालात के कारण यह केंद्र बिंदु बन गया है।
- हमारे ग्राहकों और भागीदारों का कहना है कि अब उनके पास कई नए दूरस्थ उपयोगकर्ता हैं - जो आपके सभी बेसलाइनों को बदल रहे हैं और नए हमले वैक्टर बना रहे हैं
- और कई संगठनों के पास और भी अधिक क्लाउड और सास इंफ्रास्ट्रक्चर है - संभवतः दृश्यता और नियंत्रण के नुकसान को सीमित करता है
- इन चुनौतियों के साथ, UEBA अपने सुनिश्चित करता है SOC टीम जटिल हमलों का तेजी से पता लगा सकती है— अंततः उपयोगकर्ताओं और संस्थाओं के लिए जटिल हमलावरों की तलाश करने का एक रणनीतिक तरीका।
जेफ: तो क्या आप ऐसा कह रहे हैं UEBA हमारे नए सामान्य के साथ बहुत रणनीतिक है?
स्नेहल: सही जेफ, और UEBA से अधिक चाहिए SIEM लॉग्स, नेटवर्क ट्रैफ़िक, एप्लिकेशन की जानकारी, क्लाउड और SaaS की जानकारी आवश्यक है। उपकरणों के व्यापक सेट में डेटा को सहसंबंधित करके, आप आईटी बुनियादी ढांचे में फैले जटिल हमलों को पहले से ही समझ सकते हैं। SIEMकेवल s में ही यह व्यापक दृश्यता नहीं होती है और वे आपको क्वेरी लिखने के लिए अपने प्रतिभाशाली सुरक्षा विश्लेषकों का उपयोग करने के लिए मजबूर करते हैं।
हम देखते हैं ऐ - कृत्रिम बुद्धिएक प्रमुख सहायक के रूप में, यह कंपनियों के व्यापक समुदाय को उन्नत तकनीकों का लाभ उठाने में मदद करता है। SOC समाधान। कंप्यूटर पैटर्न पहचानने में माहिर होते हैं। एआई मदद करने का एक तरीका है। SOC टीमों का आकार बढ़ाया जा सकता है, ताकि वे रणनीतिक कार्यों पर ध्यान केंद्रित कर सकें।
जेफ: मैं देखता हूं, हांगकांग में एआई गर्म विषय है - इससे पहले कि हम गहराई में खुदाई करें UEBAक्या आप उन आम चुनौतियों को साझा कर सकते हैं जिन्हें आपके ग्राहकों ने मदद करने से पहले किया था?
स्नेहल: यहां तक कि सभी सही उपकरणों के साथ, हमारे बहुत से ग्राहकों ने सफलता के बजाय विफलताओं को साझा किया। मुद्दा दृश्यता है - संगठनों का सामना उपयोगकर्ताओं और संस्थाओं के साथ लगभग हर जगह होता है।
- बादलों में
- आधार पर
- घर पर
- भौतिक नेटवर्क से गुजरना
आपकी हमले की सतह पहले से कहीं ज्यादा बड़ी है - और - गतिशील
जेफ: मैं देख रहा हूँ इसीलिए मौन साधने से मदद नहीं मिलेगी, आपको हर चीज़ के बीच और चीजों के बीच भी देखने की ज़रूरत है!
स्नेहल: सही जेफ, हम इस व्यापक दृश्यता को कहते हैं और इसमें पेटेंट सेंसर तकनीक है जो आपको क्लाउड, एंडपॉइंट, नेटवर्क और उपयोगकर्ताओं को देखने की सुविधा प्रदान करती है - कहीं भी !!
जेफ: नए सामान्य, विषम वातावरण के दौरान स्केलेबिलिटी और इंटरऑपरेबिलिटी आवश्यक है।
जेफ: क्या आप हमारे दर्शकों को व्यापक दृश्यता का यह विचार दिखा सकते हैं - आप किसी उपयोगकर्ता या संस्था के व्यवहार को कैसे ट्रैक करते हैं?
स्नेहल: जेफ, मुझे यकीन है कि जीयूआई खोलें और इस कॉल बटन पर अपना ध्यान आकर्षित करें। जैसा कि आप बाईं ओर देख सकते हैं, हम डेटा के बहुत सारे और बहुत सारे स्रोतों को निगलना करते हैं। दाईं ओर, आप कनेक्टर भी देखते हैं जो हमें AWS, Microsoft365, Google क्लाउड से उपयोगकर्ता और इकाई डेटा इकट्ठा करने में मदद करते हैं, और ईमेल, Syslogs, नेटवर्क भी। इन आंकड़ों से, हम उपयोगकर्ता और इकाई जानकारी निकाल रहे हैं। अब, मुझे एक कार्यक्रम में जाने दो। यहां, मैं आपको हमारे इंटरफ्लो रिकॉर्ड की शक्ति दिखा सकता हूं, जो उपयोगकर्ता और इकाई व्यवहार के प्रत्येक घटना के बारे में सब कुछ कैप्चर करता है।
हम डीप पैकेट निरीक्षण - डीपीआई - सभी डेटा पर काम करते हैं और यह हमें आपकी हमले की सतह में और भी अधिक देखने में मदद करता है
हम DNS टनलिंग हमलों को देख सकते हैं। हम आपको बता सकते हैं कि किन ऐप्स को हाईजैक किया जा रहा है। हम इस सभी डेटा को जियोलोकेशन की तरह 3 पार्टी धमकी इंटेल के साथ फ्यूज करते हैं ताकि यह सुनिश्चित हो सके कि आपके पास सुरक्षा विश्लेषण के लिए पूरी तस्वीर है।
जेफ: स्नेहल, प्रभावशाली, मैं यह भी देखता हूं कि यह पठनीय है और इस प्रकार मुझे यकीन है कि आप इस जानकारी पर खोज कर सकते हैं
स्नेहल: जेफ को ठीक करें, हमारे पास एक एकल डेटा झील है जहां यह सब मेटा डेटा संग्रहीत है और हम इस पर बड़ा डेटा विश्लेषण करते हैं ताकि आपको रुझान देखने में मदद मिल सके - जब उपयोगकर्ता या इकाई का व्यवहार बदलता है, तो हमारा एआई एक महत्वपूर्ण विसंगतिपूर्ण पहचान के रूप में इस पर प्रकाश डालता है।
जेफ: स्नेहल अब हम उपयोगकर्ता के व्यवहार पर गहराई से जा सकते हैं, मुझे लगता है कि आपके पास वहां कुछ दिलचस्प अंतर्दृष्टि हैं।
स्नेहल: धन्यवाद जेफ, हम करते हैं। आज के हैकर्स पारंपरिक तरीकों से आप पर हमला नहीं करते हैं - यह कुंजी है - परिधि दृष्टिकोण, या लॉग कैप्चर दृष्टिकोण अब आपको सुरक्षित नहीं करता है। अब, वे कम-प्रोफ़ाइल संपत्ति तक पहुंच प्राप्त करते हैं और पार्श्व आंदोलन के माध्यम से अधिक महत्वपूर्ण प्रणालियों के बारे में खुफिया जानकारी इकट्ठा करना शुरू करते हैं, फिर वे अधिक मूल्यवान जानकारी के लिए जाते हैं।
जेफ: क्या आप स्लाइड पर उदाहरण की व्याख्या कर सकते हैं?
घोंघा: निश्चित रूप से, मान लें कि आपने अपने सीईओ को एक महत्वपूर्ण व्यक्ति के रूप में टैग किया है, और आप सिर्फ यह देखते हैं कि वे दो घंटे बाद टोक्यो और फिर सिडनी ऑस्ट्रेलिया में लॉग इन हुए। यह स्पष्ट रूप से एक असंभव यात्रा की घटना है, फिर भी उनका लॉग-इन वैध था। फिर आप उसे किसी एप्लिकेशन को एक्सेस करने के लिए कमांड्स का उपयोग करते हुए देखते हैं, एसएसएल को SQL सर्वर पर डेटा एक्सेस करने के लिए कहते हैं।
जेफ: सीईओ एसएसएल का उपयोग क्यों करेगा और वह एसक्यूएल डेटा की तलाश क्यों करेगा? कुछ बहुत ही संदिग्ध है और उसके सामान्य व्यवहार से अलग है, लेकिन सभी तीन क्रियाएं अभी भी उन सभी चीजों के आधार पर मान्य हैं जो हम मौजूदा टूल और डेटा से स्थापित कर सकते हैं — सही?
घोंघा: बिल्कुल जेफ, संक्षेप में कहें तो UEBA वास्तव में हमें एक ऐसे तरीके की आवश्यकता है जिससे आपके सभी टूल्स और फीड्स को एक साथ लाया जा सके, और पैटर्न खोजने में मदद करने के लिए एआई का उपयोग करके इसे प्रोसेस किया जा सके, और सही डेटा खोजने के लिए विशेष रूप से डिज़ाइन किया जा सके। हम इसे कहते हैं खुला--XDR विस्तारित पहचान और प्रतिक्रिया किसी भी सिस्टम, टूल या डेटा फ़ीड के साथ एकीकृत होने की क्षमता के साथ। ठीक उसी तरह जैसे हमने फ़ायरवॉल को बढ़ाया था। SIEMइसलिए, अब समय आ गया है कि हम इस बात पर पुनर्विचार करें कि हम एक का निर्माण कैसे करते हैं। SOC। उपकरणों का एक संग्रह - या - एक बुद्धिमान मंच कुंजी है।
जेफ: तो जिस तरह से मैं यह सुनता हूं, यह व्यापक दृश्यता के साथ उपयोगकर्ता के व्यवहार के बारे में है, जो एक हैक को उजागर करने का एक शानदार तरीका लगता है?
स्नेहल: यह बिल्कुल सही है जेफ।
जेफ: धन्यवाद स्नेहल, क्या हम स्टेलर साइबर के बारे में और गहराई से जान सकते हैं? Open XDR क्या आप कोई प्लेटफॉर्म दिखा सकते हैं? विशेष रूप से हमें यह बताएं कि आप किसी महत्वपूर्ण संपत्ति की पहचान कैसे कर सकते हैं और यह कैसे देख सकते हैं कि वह संक्रमित है या नहीं?
स्नेहल: ज़रूर जेफ़, सबसे पहले, मैंने अभी-अभी एक संक्रमित सर्वर की पहचान की है, इसे हैक कर लिया गया है। हमारा UEBA इस क्षमता से संक्रमण की पहचान करने में मदद मिली। मैं डिवाइस को ट्रैफ़िक भेजने से रोक दूँगा। मैंने पोर्ट बंद करने के लिए प्रतिक्रिया ट्रिगर करने के लिए अपनी थ्रेट हंटिंग लाइब्रेरी का उपयोग किया। अब, आइए इस यूज़ केस को अंतिम चरण के साथ समाप्त करें, यह देखकर कि क्या सर्वर अब अन्य डिवाइसों को संक्रमित कर रहा है, जैसा कि हमने पहले चर्चा की थी, यह एक सामान्य तरीका है जिससे हैकर्स आपके वातावरण में अन्य डिवाइसों को संक्रमित करते हैं। देखिए, अब कई अन्य डिवाइसों पर ध्यान देने की आवश्यकता है।
जेफ: धन्यवाद स्नेहल, मैं आश्वस्त हूं कि मैं देख सकता हूं कि आपने वास्तव में बहुत कुछ किया है और यह सरल था और वास्तव में केवल कुछ ही मिनट लगे।
जेफ: अंतिम विषय जिसे मैं कवर करना चाहूंगा वह है अनुपालन। हमारे बहुत से ग्राहकों को प्रतिवर्ष या अधिक बार अनुपालन और शासन की पहल को पारित करने की आवश्यकता होती है। आपका प्लेटफ़ॉर्म रिपोर्टिंग का समर्थन कैसे करता है?
स्नेहल: महान बिंदु जेफ हमने हमारे रिपोर्टिंग इंजन में बहुत सारी क्षमताएं रखी हैं जैसा कि आप यहां देख सकते हैं। हमारे पास कई पूर्व निर्मित टेम्पलेट हैं, उदाहरण के लिए, पीसीआई अनुपालन, सीआईएस अनुपालन और एचआईपीएए अनुपालन
जेफ: क्या आप आसानी से ग्राहक रिपोर्ट बना सकते हैं?
स्नेहल: यकीन है कि जेफ हम किसी भी डैशबोर्ड से एक ग्राहक रिपोर्ट बना सकते हैं जो हमारे पास मंच में है, यहां आप देख सकते हैं कि मेरे पास थ्रेट हंटिंग लाइब्रेरी से सभी उपयोगकर्ता लॉगिन विफलताएं हैं। मैं बहुत आसानी से डैशबोर्ड को संपादित कर सकता हूं और इससे एक ग्राहक रिपोर्ट बना सकता हूं
जेफ: स्नेहल, मुझे लगता है कि हमें इसे लपेटने की आवश्यकता है, क्या आप आज हमारी चर्चा को संक्षेप में बता सकते हैं?
स्नेहल: ज़रूर जेफ़, मुझे लगता है कि सबसे महत्वपूर्ण बात जो मैं कह सकता हूँ वह यह है कि सुरक्षा में सफलता की कुंजी दृश्यता है। आप उसे प्रबंधित नहीं कर सकते जिसे आप देख नहीं सकते – और इसका मतलब है आपके पूरे आक्रमण क्षेत्र में – क्लाउड, एंडपॉइंट, नेटवर्क और उपयोगकर्ता – और जैसा कि हम दोनों ने आज बताया, उपयोगकर्ता और इकाई का व्यवहार जटिल हमलों को देखने के लिए रणनीतिक रूप से महत्वपूर्ण है। स्टेलर साइबर का लाभ यह है कि हम उन उपकरणों और टेलीमेट्री में नई अंतर्दृष्टि ला सकते हैं जिन पर आप पहले से ही भरोसा करते हैं, यह क्लाउड नेटिव है और ओपन एपीआई द्वारा संचालित है। साइबर सुरक्षा शासन, जोखिम और अनुपालन के लिए – UEBA यह सुनिश्चित करता है कि आप उन कमियों को दूर कर लें जिन्हें केवल लकड़ी के लट्ठों से ही अनदेखा किया जा सकता है।
जेफ: धन्यवाद स्नेहल, मुझे लगता है कि इस सत्र ने ग्राहकों को यह देखने में मदद की कि वे महत्वपूर्ण संपत्तियों और उपयोगकर्ताओं को क्लाउड, एंडपॉइंट्स और नेटवर्क पर आसानी से ट्रैक कर सकते हैं - शासन, जोखिम और अनुपालन रिपोर्टिंग को आसान बनाने में मदद करते हैं - .. अगली बार तक
समाप्त करने के लिए, एक केंद्रीयकृत और बुद्धिमान मंच के लिए साइबरस्पेस को बदलने के लिए जो बेसलाइन के तहत सक्षम है, ब्लाइंडस्पॉट्स को रेखांकित करें, उपलब्ध सभी उपकरणों को फ़िल्टर, तारीफ और एकीकृत करें और पता लगाने और प्रतिक्रिया क्रियाओं के लिए महत्वपूर्ण अलर्ट में घटनाओं और घटनाओं को सामान्य करें।
यह निरंतर यात्रा है!
बहुत बहुत धन्यवाद।
