Część II: Zarządzanie zachowaniami użytkowników i podmiotów
(10-minutowa dyskusja i prezentacja)
Jeff: Witamy w roku 2nd Odcinek IUŚwiat Seria Thought Leadership in Cybersecurity GRC - Governance Risk & Compliance. Serdecznie witamy wszystkich, którzy dołączyli do nas podczas tego webinarium. 1st przede wszystkim pozwólcie, że przedstawię zespół. Nazywam się Jeffa Chau, reżyser, transformacja cyfrowa z IUWorld.
Ze mną tu jest dzisiaj Snehal Contractor ze Stellar Cyber. Snehal jest wiceprezesem odpowiedzialnym za ogólnoświatową inżynierię systemów i usługi techniczne.
Witamy Snehal za dołączenie do nas IUŚwiat Seria przywództwa myśli. Następnie chciałbym przedstawić IUŚwiat.
Jesteśmy w branży ICT od 20 lat; zakorzenione w HK & Macau i to, co teraz nazywamy Greater Bay Area. Naszymi klientami są banki i instytucje finansowe, instytucje rządowe i organizacje pozarządowe, przedsiębiorstwa komercyjne i ośrodki gier. Dziś specjalizujemy się w usługach cyberbezpieczeństwa z naciskiem na innowacje GRC.
Sposób, w jaki pracujemy, poprzez te innowacje technologiczne, polega na tworzeniu organizacyjnych uzasadnień biznesowych dla odporności biznesowej. Lubię to nazywać „Projekt transformacyjny”.
Przejdźmy do dzisiejszego tematu - analiza zachowań jednostek użytkownika (UEBA).
Uznając rosnące znaczenie technologii regulacyjnej (Regtech), jednym z kluczowych aspektów jest przyjrzenie się zachowaniom użytkowników i podmiotów w organizacji pod kątem ostrożnościowego zarządzania ryzykiem i zgodności z przepisami.
Przyjrzyjmy się definicji UEBA. Tak naprawdę chodzi o to, czy ktoś ma wgląd w swojego użytkownika / system w ramach swoich danych, hosta sieciowego.
Oznacza to, w jaki sposób można monitorować komunikację między systemami oraz od interakcji człowieka z aplikacjami, a także zdolność do identyfikowania złośliwych wewnętrznych / zewnętrznych napastników infiltrujących ich organizacje.
To jest przypadek użycia Regtech o analizie działań - w jaki sposób sztuczna inteligencja może pomóc wyciągnąć wnioski z tych zachowań (co jest uważane za normalne lub anomalię, którą można zidentyfikować w odpowiednim czasie).
Rzeczywiście, w celu zapewnienia przejrzystości, spójności i standaryzacji organizacja zapewnia rzetelną interpretację przepisów.
Jeff: Cześć Snehal, dziś chciałbym poznać Twoje przemyślenia na temat analizy zachowań jednostek użytkownika – UEBA — i jak Twoim zdaniem może to wpłynąć na transformację zarządzania, ryzyka i zgodności
SNEHAL: Jeff, dziękuję za kolejną sesję z nami. I nie mógłbym się bardziej zgodzić. UEBA zmienia cyberbezpieczeństwo i w rzeczywistości jest w centrum uwagi ze względu na naszą nową normalność
- Nasi klienci i partnerzy twierdzą, że mają teraz wielu nowych zdalnych użytkowników - zmieniając wszystkie linie bazowe i tworząc nowe wektory ataków
- Wiele organizacji ma jeszcze więcej infrastruktury w chmurze i SaaS - potencjalnie ograniczając widoczność i utratę kontroli
- Z tymi wyzwaniami UEBA zapewnia twój SOC zespół może szybciej wykrywać złożone ataki — użytkownicy i jednostki to strategiczny sposób na znalezienie złożonych atakujących
Jeff: Więc tak mówisz UEBA jest dość strategiczne w stosunku do naszej nowej normy?
SNEHAL: Popraw Jeff i UEBA potrzebuje więcej niż SIEM Do logi potrzebujesz ruchu sieciowego, świadomości aplikacji, chmury i SaaS. Korelując dane z szerszego zestawu narzędzi, możesz proaktywnie łączyć złożone ataki w jedną całość, obejmując całą infrastrukturę IT. SIEMSam brak pełnej widoczności zmusza Cię do zatrudniania utalentowanych analityków ds. bezpieczeństwa do pisania zapytań.
Widzimy AI - sztuczna inteligencja— jako kluczowy czynnik umożliwiający szerszej społeczności firm korzystanie z zaawansowanych technologii SOC rozwiązań. Komputery są dobre w dostrzeganiu wzorców. Sztuczna inteligencja to sposób na pomoc SOC zespoły skalują się, dzięki czemu mogą skupić się na pracy strategicznej.
Jeff: Rozumiem, że sztuczna inteligencja jest gorącym tematem tutaj w Hongkongu - zanim zagłębimy się głębiej UEBA, czy możesz podzielić się typowymi wyzwaniami, jakie mieli Twoi klienci, zanim im pomogłeś?
SNEHAL: Nawet mając wszystkie odpowiednie narzędzia, wielu naszych klientów podzielało niepowodzenia, a nie sukces. Problemem jest widoczność - organizacje mają do czynienia z użytkownikami i podmiotami praktycznie wszędzie.
- W chmurze
- Na miejscu
- W domu
- Przechodząc przez sieć fizyczną
Twoja powierzchnia ataku jest większa niż kiedykolwiek - i - dynamiczna
Jeff: Widzę, że właśnie dlatego wyciszone narzędzia nie pomogą, musisz spojrzeć na wszystko, a także pomiędzy rzeczy!
SNEHAL: Prawda Jeff, nazywamy to kompleksową widocznością i mamy opatentowaną technologię czujników, która zapewnia, że widzisz w chmurze, punktach końcowych, sieci i użytkownikach - w dowolnym miejscu !!
Jeff: W nowym normalnym środowisku niezbędna jest wówczas skalowalność i współdziałanie w heterogenicznych środowiskach.
Jeff: czy możesz pokazać naszym odbiorcom koncepcję wszechstronnej widoczności - jak śledzić zachowanie użytkownika lub podmiotu?
SNEHAL: Jeff, z pewnością pozwól mi otworzyć GUI i zwrócić twoją uwagę na ten przycisk ZBIERZ. Jak widać po lewej stronie, pozyskujemy wiele, wiele źródeł danych. Po prawej stronie widzisz również łączniki, które pomagają nam gromadzić dane użytkowników i podmiotów z AWS, Microsoft365, Google Cloud, a także poczty e-mail, Syslogs, sieci. Z tych danych wyodrębniamy informacje o użytkowniku i jednostce. Teraz pozwól mi przejść do zdarzenia. Tutaj mogę pokazać moc naszych rekordów Interflow, które rejestrują wszystko o każdym incydencie dotyczącym zachowania użytkownika i podmiotu.
Wykonujemy głęboką inspekcję pakietów - DPI - na wszystkich przetwarzanych danych, co pomaga nam jeszcze lepiej zobaczyć Twoją powierzchnię ataku
Widzimy ataki tunelowania DNS. Możemy Ci powiedzieć, jakie aplikacje są przejmowane. Łączymy wszystkie te dane z informacjami o zagrożeniach stron trzecich, takimi jak geolokalizacja, aby zapewnić pełny obraz do analizy bezpieczeństwa.
Jeff: Snehal, imponujące, widzę też, że jest czytelne i dlatego jestem pewien, że możesz poszukać tych informacji
SNEHAL: Poprawnie Jeff, mamy jedno jezioro danych, w którym przechowywane są wszystkie te metadane, i przeprowadzamy na nim analizę dużych zbiorów danych, aby pomóc Ci dostrzec trendy - kiedy zmienia się zachowanie użytkownika lub jednostki, nasza sztuczna inteligencja podkreśla to jako krytyczne wykrycie anomalii.
Jeff: Snehal, czy możemy teraz zagłębić się w zachowanie użytkowników, myślę, że masz tam kilka interesujących spostrzeżeń.
SNEHAL: Dzięki Jeff, mamy. Dzisiejsi hakerzy nie atakują Cię w tradycyjny sposób - to jest kluczowe - podejście obwodowe lub metoda przechwytywania dziennika już Cię nie zabezpiecza. Teraz uzyskują dostęp do niskoprofilowych zasobów i zaczynają zbierać informacje o bardziej krytycznych systemach poprzez ruch boczny, a następnie sięgają po bardziej wartościowe informacje.
Jeff: Czy możesz wyjaśnić przykład na slajdzie?
UZDROWIENIE: Jasne, powiedzmy, że oznaczyłeś swojego CEO jako osobę krytyczną i widzisz, że zalogował się w Tokio, a następnie w Sydney w Australii dwie godziny później. To z pewnością niemożliwe wydarzenie podróżnicze, ale jego login był ważny. Następnie widzisz, jak używa poleceń, aby uzyskać dostęp do aplikacji, powiedzmy SSL, aby uzyskać dostęp do danych na serwerze SQL.
Jeff: Dlaczego dyrektor generalny miałby używać SSL i dlaczego miałby szukać danych SQL? Coś jest bardzo podejrzane i różni się od jego normalnego zachowania, ale wszystkie trzy działania są nadal ważne w oparciu o wszystko, co możemy ustalić na podstawie istniejących narzędzi i danych - prawda?
UZDROWIENIE: Dokładnie Jeff, podsumowując to UEBA Naprawdę potrzebujemy sposobu na połączenie wszystkich narzędzi i kanałów, a następnie przetworzenie ich za pomocą sztucznej inteligencji, aby pomóc w znajdowaniu wzorców, a także rozwiązania stworzonego specjalnie po to, by znaleźć WŁAŚCIWE dane. Nazywamy to Otwarte--XDR – rozszerzone wykrywanie i reagowanie z możliwością integracji z dowolnym systemem, narzędziem lub źródłem danych. Tak jak rozszerzyliśmy zapory sieciowe o SIEMs, nadszedł czas, aby ponownie rozważyć sposób, w jaki budujemy SOC. Zbiór narzędzi - lub - inteligentna platforma to podstawa.
Jeff: Słyszę, że chodzi o zachowanie użytkowników z szeroką widocznością, co wydaje się być świetnym sposobem na wykrycie włamania?
SNEHAL: Dokładnie tak, Jeff.
Jeff: Dzięki Snehal, czy możemy przyjrzeć się bliżej Stellar Cyber? Open XDR Platforma? Pokaż nam konkretnie, jak zidentyfikować krytyczny zasób i sprawdzić, czy jest zainfekowany?
SNEHAL: Jasne, Jeff. Po pierwsze, właśnie zidentyfikowałem zainfekowany serwer, został zhakowany. Nasz UEBA Funkcja ta pomogła zidentyfikować infekcję. Zablokuję urządzenie przed wysyłaniem ruchu. Użyłem naszej biblioteki Threat Hunting do wywołania odpowiedzi i zamknięcia portu. Zakończmy ten przypadek użycia ostatnim krokiem, sprawdzając, czy serwer infekuje teraz inne urządzenia. Jak omówiliśmy na początku, jest to częsty sposób, w jaki hakerzy infekują inne urządzenia w środowisku poprzez ruch boczny. Widzisz, wiele innych urządzeń wymaga teraz uwagi.
Jeff: Dzięki Snehal, jestem przekonany, że widzę, że naprawdę dużo zrobiłeś, a to było proste i zajęło tylko kilka minut.
Jeff: Ostatnim tematem, który chciałbym poruszyć, jest zgodność. Wielu naszych klientów musi co roku lub nawet częściej przechodzić inicjatywy dotyczące zgodności i ładu korporacyjnego. W jaki sposób Twoja platforma obsługuje raportowanie?
SNEHAL: Świetna uwaga Jeff, jak widać tutaj, włożyliśmy wiele możliwości do naszego silnika raportowania. Mamy wiele gotowych szablonów, na przykład zgodność ze standardami PCI, zgodnością z CIS i zgodnością z HIPAA
Jeff: Czy możesz łatwo tworzyć raporty klientów?
SNEHAL: Jasne, Jeff, możemy zbudować raport klienta z dowolnego pulpitu nawigacyjnego, który mamy na platformie, tutaj możesz zobaczyć, że mam wszystkie niepowodzenia logowania użytkowników z Biblioteki polowania na zagrożenia. Mogę bardzo łatwo edytować dashboard i stworzyć z niego raport klienta
Jeff: Snehal, myślę, że musimy to zakończyć, czy możesz podsumować naszą dzisiejszą dyskusję?
SNEHAL: Jasne, Jeff, myślę, że najważniejszą rzeczą, jaką mogę powiedzieć, jest to, że widoczność jest kluczem do sukcesu w dziedzinie bezpieczeństwa. Nie da się zarządzać tym, czego nie widać – a to oznacza całą powierzchnię ataku – chmurę, punkty końcowe, sieć i użytkowników – a jak obaj dziś podkreślaliśmy, zachowanie użytkowników i podmiotów ma strategiczne znaczenie dla zapewnienia widoczności złożonych ataków. Przewagą Stellar Cyber jest to, że możemy dostarczyć nowych spostrzeżeń do narzędzi i telemetrii, którym już ufasz – jest natywny dla chmury i oparty na otwartym API. W zakresie zarządzania cyberbezpieczeństwem, ryzyka i zgodności – UEBA zapewnia zamknięcie martwych pól, które same w sobie byłyby widoczne dzięki kłodom.
Jeff: Dzięki Snehal, myślę, że ta sesja pomogła klientom zobaczyć, że mogą łatwo śledzić krytyczne zasoby i użytkowników w chmurze, punktach końcowych i sieci - pomagając uprościć zarządzanie, ryzyko i raportowanie zgodności - ... do następnego razu
Podsumowując, do przekształcenia cyberbezpieczeństwa w scentralizowaną i inteligentną platformę, która jest w stanie ukryć martwe punkty, uzupełniać i integrować wszystkie dostępne narzędzia oraz filtrować, normalizować i korelować zdarzenia i incydenty w krytyczne alerty w celu wykrywania i reagowania.
To ciągła podróż!
Dziękuję bardzo.
