XNUMX 부 : 사용자 및 엔터티 행동 관리
(10 분 토론 및 데모)
제프 : 2에 오신 것을 환영합니다nd 에피소드 아이유 월드 사이버 보안 GRC의 사고 리더십 시리즈 – 거버넌스 위험 및 규정 준수. 이 웨비나에 참여 해주신 모든 분들을 환영합니다. 1st 무엇보다도 팀을 소개하겠습니다. 내 이름은 제프 차우, 디렉터, IUWorld의 디지털 변혁.
오늘 여기 나와 함께 Snehal Contractor Stellar Cyber에서. Snehal은 전세계 시스템 엔지니어링 및 기술 서비스를 담당하는 부사장입니다.
Snehal에 오신 것을 환영합니다. 아이유 월드 생각 리더십 시리즈. 다음으로 소개하고 싶습니다 아이유 월드.
우리는 ICT 사업에서 20 년입니다; 홍콩과 마카오에 뿌리를두고 있으며 지금은 그레이터 베이 지역이라고 부릅니다. 우리의 고객은 은행 및 금융 기관, 정부 및 NGO에서 상업 기업 및 게임 리조트에 이르기까지 다양합니다. 오늘날 우리는 GRC 혁신에 중점을 둔 사이버 보안 서비스를 전문으로합니다.
우리가 일하는 방식은 이러한 기술 혁신을 통해 비즈니스 탄력성을위한 조직의 비즈니스 사례를 만드는 것입니다. 나는 그것을 부르고 싶다 "변형 프로젝트".
오늘의 주제로 넘어가겠습니다. 사용자 엔티티 행동 분석 (UEBA).
규제 기술 (Regtech)의 중요성이 커짐을 인식하고있는 핵심 측면 중 하나는 건전한 위험 관리 및 규제 준수를 위해 조직의 사용자 및 법인 행동을 조사하는 것입니다.
의 정의를 살펴 보겠습니다. UEBA. 실제로 데이터, 네트워크 호스트 내에서 사용자 / 시스템에 대한 가시성이 있는지 여부에 관한 것입니다.
이것이 의미하는 바는 시스템 간 통신 및 애플리케이션과의 인간 상호 작용 및 조직에 침투하는 악의적 인 내부자 / 외부 공격자를 식별하는 기능을 모니터링하는 방법입니다.
이것은 다음의 사용 사례입니다. Regtech 활동 분석 – AI가 이러한 행동에서 통찰력을 도출하는 데 어떻게 도움이 되는가 (적시에 식별 할 수있는 정상 또는 이상으로 간주되는 것).
조직이 규정을 건전하게 해석하는 방법은 투명성, 일관성 및 표준화를위한 것입니다.
JEFF : 안녕하세요, 스네할님. 오늘은 사용자-엔티티 행동 분석에 대한 당신의 생각을 듣고 싶습니다. UEBA — 그리고 이것이 지배구조, 위험 관리 및 규정 준수를 어떻게 변화시킬 것이라고 생각하시는지 말씀해 주십시오.
SNEHAL : 제프, 또 한 번 저희와 함께 세션을 진행해 주셔서 감사합니다. 전적으로 동감합니다. UEBA 사이버 보안을 혁신하고 있으며, 실제로 우리의 새로운 일상 때문에 중심에 서게 되었습니다.
- 당사의 고객과 파트너는 이제 새로운 원격 사용자가 많이있어 모든 기준을 변경하고 새로운 공격 벡터를 생성한다고 말합니다.
- 그리고 많은 조직이 더 많은 클라우드 및 SaaS 인프라를 보유하고있어 가시성과 통제력 상실을 잠재적으로 제한합니다.
- 이러한 도전과 함께 UEBA 당신의 SOC 팀은 복잡한 공격을 더 빠르게 찾아낼 수 있습니다. 궁극적으로 사용자와 단체를 구분하는 것은 복잡한 공격자를 찾는 전략적인 방법입니다.
JEFF : 그래서 당신은 UEBA 우리의 새로운 노멀과 꽤 전략적인가요?
SNEHAL : Jeff를 수정하고 UEBA 이상이 필요하다 SIEM 로그뿐 아니라 네트워크 트래픽, 애플리케이션 현황, 클라우드 및 SaaS 현황도 필요합니다. 더 광범위한 도구를 통해 수집된 데이터를 상호 연관시키면 모든 IT 인프라에 걸쳐 복잡한 공격을 사전에 파악하고 분석할 수 있습니다. SIEMs만으로는 이러한 포괄적인 가시성을 확보할 수 없으므로 유능한 보안 분석가를 활용하여 쿼리를 작성해야 합니다.
우리는 참조 AI – 인공 지능— 더 많은 기업들이 첨단 기술을 활용할 수 있도록 지원하는 핵심적인 역할을 수행합니다. SOC 해결책을 제시합니다. 컴퓨터는 패턴을 파악하는 데 능숙합니다. 인공지능은 이러한 점에서 도움을 줄 수 있습니다. SOC 팀 규모가 커지면 전략적인 업무에 집중할 수 있습니다.
JEFF : 알겠습니다. AI는 홍콩에서 뜨거운 주제입니다. 자세히 알아보기 전에 UEBA, 고객을 돕기 전에 고객이 겪었던 공통적 인 문제를 공유 할 수 있습니까?
SNEHAL : 적절한 도구를 모두 갖추고 있어도 많은 고객이 성공보다는 실패를 공유했습니다. 문제는 가시성입니다. 조직은 거의 모든 곳에서 사용자와 엔티티에 직면합니다.
- 클라우드에서
- 전제
- 집에서
- 물리적 네트워크를 통과
공격 표면이 그 어느 때보 다 커지고 역동적입니다.
JEFF : 이것이 바로 사일로 화 된 도구가 도움이되지 않는 이유입니다. 모든 것을 살펴보고 그 사이도 살펴 봐야합니다!
SNEHAL : 올바른 제프, 우리는 이것을 포괄적 인 가시성이라고 부르며 클라우드, 엔드 포인트, 네트워크 및 사용자를 어디서나 볼 수 있도록하는 특허받은 센서 기술을 보유하고 있습니다 !!
JEFF : 새로운 표준의 경우 이기종 환경 간의 확장 성 및 상호 운용성이 필수적입니다.
JEFF : 청중에게 포괄적 인 가시성이라는 아이디어를 보여줄 수 있습니까? 사용자 또는 엔티티의 행동을 어떻게 추적합니까?
SNEHAL : Jeff, GUI를 열고이 COLLECT 버튼에주의를 기울 이도록하겠습니다. 왼쪽에서 볼 수 있듯이 우리는 수많은 데이터 소스를 수집합니다. 오른쪽에는 AWS, Microsoft365, Google Cloud, 이메일, Syslog, 네트워크에서 사용자 및 엔터티 데이터를 수집하는 데 도움이되는 커넥터도 있습니다. 이 데이터에서 사용자 및 엔티티 정보를 추출합니다. 이제 이벤트에 대해 자세히 살펴 보겠습니다. 여기에서는 사용자 및 엔터티 행동의 각 사건에 대한 모든 것을 캡처하는 Interflow 레코드의 힘을 보여 드릴 수 있습니다.
수집 된 모든 데이터에 대해 DPI (Deep Packet Inspection)를 수행하여 공격 표면을 더 많이 볼 수 있습니다.
DNS 터널링 공격을 볼 수 있습니다. 어떤 애플리케이션이 도용되고 있는지 알려 드릴 수 있습니다. 이 모든 데이터를 지리적 위치와 같은 타사 위협 정보와 통합하여 보안 분석을위한 완벽한 그림을 얻을 수 있습니다.
JEFF : Snehal, 인상적입니다. 또한 읽을 수 있다는 것을 알고 있으므로이 정보를 검색 할 수 있습니다.
SNEHAL : Jeff를 수정하십시오.이 모든 메타 데이터가 저장되는 단일 데이터 레이크가 있으며 이에 대한 빅 데이터 분석을 수행하여 추세를 확인하는 데 도움을줍니다. 사용자 또는 엔티티 행동이 변경되면 AI가이를 중요한 변칙 탐지로 강조합니다.
JEFF : Snehal은 이제 사용자 행동에 대해 더 자세히 살펴볼 수 있습니다. 흥미로운 통찰력이 있습니다.
SNEHAL : 감사합니다 Jeff, 우리는 그렇습니다. 오늘날의 해커는 기존 방식 (핵심)으로 사용자를 공격하지 않습니다. 즉, 경계 접근 방식이거나 로그 캡처 방식이 더 이상 사용자를 보호하지 못합니다. 이제 그들은 낮은 프로필 자산에 액세스하고 측면 이동을 통해 더 중요한 시스템에 대한 정보를 수집하기 시작한 다음 더 가치있는 정보를 찾습니다.
JEFF : 슬라이드의 예를 설명해 주시겠습니까?
SNHEAL : 물론, 당신이 당신의 CEO를 비판적인 사람으로 태깅했다고 가정 해 봅시다. 그리고 그들이 도쿄에 로그인 한 다음 XNUMX 시간 후에 시드니 오스트레일리아에 로그인 한 것을 볼 수 있습니다. 그것은 분명히 불가능한 여행 이벤트이지만 그의 로그인은 유효했습니다. 그런 다음 명령을 사용하여 응용 프로그램에 액세스하는 것을 볼 수 있습니다. 예를 들어 SSL을 사용하여 SQL 서버의 데이터에 액세스합니다.
JEFF : CEO가 SSL을 사용하는 이유와 SQL 데이터를 찾는 이유는 무엇입니까? 그의 정상적인 행동과는 매우 의심스럽고 다른 것이 있지만, 세 가지 행동은 모두 기존 도구와 데이터에서 설정할 수있는 모든 것을 기반으로 여전히 유효합니다. 맞습니까?
SNHEAL : 제프, 요약하자면 이렇습니다. UEBA 진정으로 필요한 것은 모든 도구와 피드를 통합하고 AI로 처리하여 패턴을 찾고, 적합한 데이터를 찾도록 설계된 방법입니다. 우리는 이것을 열려 있는--XDR 확장된 탐지 및 대응 어떤 시스템, 도구 또는 데이터 피드와도 통합할 수 있는 기능을 갖추고 있습니다. 마치 우리가 방화벽을 강화했던 것처럼 말입니다. SIEM그러므로 우리가 구축하는 방식을 재고할 때입니다. SOC. 도구 모음 또는 지능형 플랫폼이 핵심입니다.
JEFF : 제가 듣는 방식은 넓은 가시성을 가진 사용자 행동에 관한 것입니다. 해킹을 발견하는 좋은 방법 인 것 같습니다.
SNEHAL : 바로 제프입니다.
JEFF : 스네할님, 감사합니다. 스텔라 사이버에 대해 좀 더 자세히 살펴볼 수 있을까요? Open XDR 플랫폼인가요? 구체적으로 어떤 방식으로 중요 자산을 식별하고 감염 여부를 확인할 수 있는지 보여주세요.
SNEHAL : 네, 제프. 우선, 방금 감염된 서버를 확인했습니다. 해킹을 당했습니다. UEBA 이 기능을 통해 감염 여부를 확인할 수 있었습니다. 해당 장치의 트래픽 전송을 차단하겠습니다. 위협 탐지 라이브러리를 사용하여 포트를 닫는 대응 조치를 실행했습니다. 이제 마지막 단계로, 서버가 다른 장치를 감염시키는지 확인해 보겠습니다. 앞서 논의했듯이, 해커들이 환경 내 다른 장치를 감염시키는 일반적인 방법 중 하나가 바로 측면 이동입니다. 보시다시피, 이제 다른 많은 장치에 대한 점검이 필요합니다.
JEFF : 감사합니다 Snehal, 저는 당신이 정말 많은 일을했다는 것을 볼 수 있다고 확신합니다. 그것은 간단했고 정말 몇 분 밖에 걸리지 않았습니다.
JEFF : 마지막으로 다루고 싶은 주제는 규정 준수입니다. 많은 고객이 매년 또는 더 자주 규정 준수 및 거버넌스 이니셔티브를 통과해야합니다. 귀하의 플랫폼은보고를 어떻게 지원합니까?
SNEHAL : 좋은 점 Jeff는 여기에서 볼 수있는 것처럼보고 엔진에 많은 기능을 추가했습니다. PCI 규정 준수, CIS 규정 준수 및 HIPAA 규정 준수와 같은 사전 구축 된 템플릿이 많이 있습니다.
JEFF : 고객 보고서를 쉽게 작성할 수 있습니까?
SNEHAL : 물론 Jeff는 플랫폼에있는 모든 대시 보드에서 고객 보고서를 작성할 수 있습니다. 여기에서 Threat Hunting Library의 모든 사용자 로그인 실패를 볼 수 있습니다. 대시 보드를 매우 쉽게 편집하고 여기에서 고객 보고서를 작성할 수 있습니다.
JEFF : 스네 할, 마무리해야 할 것 같아요. 오늘 토론을 요약 해 주 시겠어요?
SNEHAL : 네, 제프. 제가 가장 강조하고 싶은 점은 보안 성공의 핵심은 가시성이라는 것입니다. 보이지 않는 것은 관리할 수 없습니다. 이는 클라우드, 엔드포인트, 네트워크, 사용자 등 전체 공격 표면에 걸쳐 적용됩니다. 오늘 저희가 강조했듯이, 사용자와 엔티티의 행동은 복잡한 공격을 파악하는 데 전략적으로 중요합니다. Stellar Cyber의 강점은 이미 신뢰하는 도구와 원격 측정 데이터에 새로운 인사이트를 제공할 수 있다는 점입니다. 클라우드 네이티브 방식이며 오픈 API를 기반으로 합니다. 사이버 보안 거버넌스, 위험 관리 및 규정 준수를 위해 Stellar Cyber는 최적의 솔루션을 제공합니다. UEBA 통나무만으로는 생길 수 있는 사각지대를 메워줍니다.
JEFF : Snehal에게 감사드립니다.이 세션은 클라이언트가 클라우드, 엔드 포인트 및 네트워크에서 중요한 자산과 사용자를 쉽게 추적 할 수 있다는 것을 알 수 있도록 도와 주어 다음 번까지 거버넌스, 위험 및 규정 준수보고를 단순화하는 데 도움이되었다고 생각합니다.
결론적으로, 사이버 보안을 기준선 아래에있는 중앙 집중식 및 지능형 플랫폼으로 전환하기 위해 사각 지대를 숨기고, 사용 가능한 모든 도구를 보완 및 통합하고, 이벤트 및 사고를 감지 및 대응 조치를위한 중요한 경고로 필터링, 정규화 및 상호 연관시킬 수 있습니다.
계속되는 여행입니다!
대단히 감사합니다.
