Deel II: Beheer van gebruikers- en entiteitsgedrag
(10 minuten discussie en demo)
Jeff: Welkom in de 2nd Aflevering van IUWereld Thought Leadership Series in Cybersecurity GRC - Governance Risk & Compliance. Hartelijk welkom voor iedereen die bij ons aan dit webinar heeft deelgenomen. 1st Laat me allereerst het team voorstellen. Mijn naam is Jeff Chau, regisseur, digitale transformatie van IUWorld.
Bij mij is hier vandaag Snehal Contractor van Stellar Cyber. Snehal is de vice-president die verantwoordelijk is voor Worldwide System Engineering & Technical Services.
Welkom Snehal om bij ons te komen IUWereld Thought Leadership-serie. Vervolgens wil ik je voorstellen IUWereld.
We zijn 20 jaar actief in ICT-zaken; geworteld in HK & Macau en wat we nu de Greater Bay Area noemen. Onze klantenkring varieert van banken en financiële instellingen, overheid en ngo's tot commerciële ondernemingen en gamingresorts. Tegenwoordig zijn we gespecialiseerd in cyberbeveiligingsdiensten met focus op GRC-innovaties.
De manier waarop we werken is, door middel van deze technologische innovaties, om een zakelijke businesscase voor zakelijke veerkracht te creëren. Ik noem het graag "Transformationeel project".
Laten we verder gaan met het onderwerp van vandaag - analyse van gebruikersentiteitsgedrag (UEBA).
Erkennend het groeiende belang van Regulatory Technology (Regtech), is een van de belangrijkste aspecten om te kijken naar het gedrag van gebruikers en entiteiten in een organisatie voor prudentieel risicobeheer en naleving van wet- en regelgeving.
Laten we eens kijken naar de definitie van UEBA Het gaat er echt om of iemand inzicht heeft in zijn gebruiker / systeem binnen zijn gegevens, netwerkhost.
Wat het betekent is hoe iemand in staat is om systeem-naar-systeemcommunicatie en menselijke interacties met applicaties te volgen en het vermogen om kwaadwillende insiders / externe aanvallers te identificeren die hun organisaties infiltreren.
Dit is een use-case van Regtech over analyse van activiteiten - hoe AI kan helpen om inzichten uit dit gedrag te trekken (wat wordt beschouwd als normaal of een anomalie die tijdig kan worden vastgesteld).
Het is inderdaad voor transparantie, consistentie en standaardisatie hoe de organisatie de regelgeving goed interpreteert.
JEF: Hallo Snehal, ik wil vandaag graag je mening horen over gebruikersgedragsanalyse. UEBA — en hoe u denkt dat dit de governance, risicobeheer en compliance zal veranderen.
SNEHAL: Jeff, bedankt dat je weer een sessie met ons hebt georganiseerd. En ik ben het helemaal met je eens. UEBA transformeert de cyberbeveiliging en staat zelfs centraal vanwege onze nieuwe realiteit.
- Onze klanten en partners zeggen dat ze nu veel nieuwe externe gebruikers hebben - al uw basislijnen wijzigen en nieuwe aanvalsvectoren creëren
- En veel organisaties hebben zelfs nog meer cloud- en SaaS-infrastructuur, waardoor de zichtbaarheid en het controleverlies mogelijk worden beperkt
- Met deze uitdagingen, UEBA zorgt voor uw SOC Het team kan complexe aanvallen sneller opsporen – Gebruikers en Entiteiten zijn uiteindelijk een strategische manier om naar complexe aanvallers te zoeken.
JEF: Dus zeg je dat? UEBA is behoorlijk strategisch met ons nieuwe normaal?
SNEHAL: Correct Jeff, en UEBA heeft meer nodig dan SIEM Voor het analyseren van logbestanden heb je netwerkverkeer, applicatiekennis en inzicht in de cloud en SaaS-omgeving nodig. Door gegevens uit een breder scala aan tools te correleren, kun je proactief complexe aanvallen in de gehele IT-infrastructuur reconstrueren. SIEMAlleen systemen missen dit uitgebreide inzicht en dwingen je om je getalenteerde beveiligingsanalisten in te zetten voor het schrijven van query's.
Wij zien AI - kunstmatige intelligentie— als een belangrijke factor om een bredere groep bedrijven te helpen profiteren van geavanceerde technologie. SOC oplossingen. Computers zijn goed in het herkennen van patronen. AI is een manier om daarbij te helpen. SOC Teams groeien, zodat ze zich kunnen concentreren op strategisch werk.
JEF: Ik snap het, AI is een hot topic hier in Hong Kong - Voordat we er dieper op ingaan UEBA, kunt u de gemeenschappelijke uitdagingen delen die uw klanten hadden voordat u hen hielp?
SNEHAL: Zelfs met de juiste tools, deelden veel van onze klanten eerder mislukkingen dan succes. Het probleem is zichtbaarheid: organisaties hebben vrijwel overal te maken met gebruikers en entiteiten.
- In de wolk
- Op locatie
- Thuis
- Passeren via het fysieke netwerk
Uw aanvalsoppervlak is groter dan ooit - en - dynamisch
JEF: Ik begrijp dat dit de reden is waarom tools in silo's niet helpen, je moet overal naar kijken en ook tussen dingen in!
SNEHAL: Correct Jeff, we noemen dit uitgebreide zichtbaarheid en hebben gepatenteerde sensortechnologie die ervoor zorgt dat je overal in de cloud, endpoints, netwerk en gebruikers kunt zien !!
JEF: Voor de nieuwe norm zijn schaalbaarheid en interoperabiliteit tussen heterogene omgevingen dan essentieel.
JEF: kunt u ons publiek dit idee van uitgebreide zichtbaarheid laten zien - hoe volgt u het gedrag van een gebruiker of entiteit?
SNEHAL: Jeff, laat me zeker de GUI openen en je aandacht vestigen op deze COLLECT-knop. Zoals u aan de linkerkant kunt zien, nemen we heel veel gegevensbronnen op. Aan de rechterkant ziet u ook connectoren die ons helpen gebruikers- en entiteitsgegevens te verzamelen van AWS, Microsoft365, Google Cloud en ook e-mail, Syslogs, netwerk. Uit deze gegevens halen we gebruikers- en entiteitsinformatie op. Laat me nu een gebeurtenis bekijken. Hier kan ik u de kracht laten zien van onze Interflow-records, die alles over elk incident van gebruikers- en entiteitsgedrag vastleggen.
We voeren Deep Packet Inspection - DPI - uit op alle opgenomen gegevens en dat helpt ons om nog meer in uw aanvalsoppervlak te zien
We kunnen DNS-tunnelingaanvallen zien. We kunnen u vertellen welke applicaties worden gekaapt. We combineren al deze gegevens met bedreigingsinformatie van derden, zoals geolocatie, om ervoor te zorgen dat u een volledig beeld heeft voor beveiligingsanalyse.
JEF: Snehal, indrukwekkend, ik zie ook dat het leesbaar is en dus weet ik zeker dat je op deze informatie kunt zoeken
SNEHAL: Correct Jeff, we hebben een enkel datameer waar al deze metagegevens worden opgeslagen en we voeren er big data-analyses op uit om u te helpen trends te zien - wanneer het gedrag van gebruikers of entiteiten verandert, benadrukt onze AI dit als een kritieke afwijkende detectie.
JEF: Snehal kunnen we nu dieper ingaan op gebruikersgedrag, ik denk dat je daar een aantal interessante inzichten hebt.
SNEHAL: Bedankt Jeff, dat doen we. De hackers van tegenwoordig vallen u niet op de traditionele manieren aan - dit is de sleutel - een perimeterbenadering of een logboekregistratie-aanpak biedt u niet langer zekerheid. Nu krijgen ze toegang tot onopvallende middelen en beginnen ze informatie te verzamelen over meer kritieke systemen door zijwaartse beweging, en vervolgens gaan ze op zoek naar meer waardevolle informatie.
JEF: Kunt u het voorbeeld op de dia uitleggen?
SNHEAL: Laten we zeggen dat je je CEO hebt getagd als een kritisch persoon, en je ziet gewoon dat ze zich hebben aangemeld in Tokio en vervolgens in Sydney, Australië, twee uur later. Dat is duidelijk een onmogelijke reisgebeurtenis, maar toch was zijn login geldig. Dan zie je hem commando's gebruiken om toegang te krijgen tot een applicatie, zeg SSL om toegang te krijgen tot gegevens op een SQL-server.
JEF: Waarom zou de CEO SSL gebruiken en waarom zou hij op zoek zijn naar SQL-gegevens? Iets is heel verdacht en anders dan zijn normale gedrag, maar alle drie de acties zijn nog steeds geldig op basis van alles wat we kunnen vaststellen op basis van de bestaande tools en gegevens - toch?
SNHEAL: Precies Jeff, om samen te vatten wat UEBA Wat we echt nodig hebben, is een manier om al je tools en datastromen samen te brengen en te verwerken met AI om patronen te vinden, en specifiek ontworpen om de JUISTE data te vinden. We noemen dit... Open--XDR – uitgebreide detectie en respons met de mogelijkheid om te integreren met elk systeem, elke tool of elke datafeed. Net zoals we firewalls hebben uitgebreid met SIEMHet is tijd om te heroverwegen hoe we bouwen. SOC Een verzameling tools - of - een intelligent platform is de sleutel.
JEF: Dus de manier waarop ik dit hoor is dat het gaat om gebruikersgedrag met brede zichtbaarheid, dat lijkt een geweldige manier om een hack te ontdekken?
SNEHAL: Dat klopt precies, Jeff.
JEF: Dankjewel Snehal, kunnen we Stellar Cyber eens nader bekijken? Open XDR Platform? Kunt u ons specifiek laten zien hoe u een kritiek bedrijfsmiddel kunt identificeren en kunt controleren of het is geïnfecteerd?
SNEHAL: Zeker Jeff, allereerst heb ik net een geïnfecteerde server gevonden, die is gehackt. Onze UEBA Dankzij deze functionaliteit kon de infectie worden vastgesteld. Ik ga voorkomen dat het apparaat verkeer verzendt. Ik heb onze Threat Hunting-bibliotheek gebruikt om een reactie te activeren en de poort te sluiten. Laten we deze use case nu afronden met de laatste stap: controleren of de server nu andere apparaten infecteert. Zoals we eerder besproken hebben, is dit een veelvoorkomende manier waarop hackers andere apparaten in uw omgeving infecteren door middel van laterale verplaatsing. Zoals u ziet, hebben veel andere apparaten nu aandacht nodig.
JEF: Bedankt Snehal, ik ben ervan overtuigd dat ik kan zien dat je echt veel hebt gedaan en dat was simpel en duurde maar een paar minuten.
JEF: Het laatste onderwerp dat ik wil behandelen is Compliance. Veel van onze klanten moeten jaarlijks of zelfs vaker nalevings- en governance-initiatieven nemen. Hoe ondersteunt uw platform rapportage?
SNEHAL: Geweldig punt Jeff, we hebben veel mogelijkheden in onze rapportage-engine gestopt, zoals je hier kunt zien. We hebben veel vooraf gebouwde sjablonen, bijvoorbeeld PCI-compliance, CIS-compliance en HIPAA-compliance
JEF: Kun je gemakkelijk klantrapporten maken?
SNEHAL: Natuurlijk, Jeff, we kunnen een klantrapport maken vanaf elk dashboard dat we op het platform hebben, hier kun je zien dat ik alle gebruikersaanmeldingsfouten heb uit de Threat Hunting Library. Ik kan het dashboard heel gemakkelijk bewerken en er een klantrapportage van maken
JEF: Snehal, ik denk dat we dit moeten afronden, kun je onze discussie vandaag samenvatten?
SNEHAL: Zeker Jeff, ik denk dat het belangrijkste wat ik kan zeggen is dat zichtbaarheid de sleutel tot succes is in de beveiliging. Je kunt niet beheren wat je niet kunt zien – en dat geldt voor je hele aanvalsoppervlak – cloud, endpoint, netwerk en gebruiker – en zoals we vandaag allebei hebben benadrukt, is het gedrag van gebruikers en entiteiten strategisch belangrijk om ervoor te zorgen dat je complexe aanvallen kunt zien. Het voordeel van Stellar Cyber is dat we nieuwe inzichten kunnen bieden in tools en telemetrie die je al vertrouwt, het is cloud-native en gebaseerd op open API's. Voor cybersecurity governance, risicobeheer en compliance — UEBA Zorgt ervoor dat je blinde vlekken dicht die door alleen boomstammen zouden worden doorgelaten.
JEF: Bedankt Snehal, ik denk dat deze sessie klanten heeft geholpen te zien dat ze gemakkelijk kritieke activa en gebruikers in de cloud, eindpunten en netwerk kunnen volgen - wat de governance, risico- en compliancerapportage vereenvoudigt - .. tot de volgende keer
Tot slot, voor het transformeren van cyberbeveiliging naar een gecentraliseerd en intelligent platform dat in staat is om onder de basislijn blinde vlekken te verbergen, alle beschikbare tools te complimenteren en te integreren en gebeurtenissen en incidenten te filteren, normaliseren en correleren tot kritische waarschuwingen voor detectie- en responsacties.
Het is een continue reis!
Heel hartelijk bedankt.
