Parte II: Gerenciamento do comportamento do usuário e da entidade
(Discussão e demonstração de 10 minutos)
Jeff: Bem-vindo a 2nd Episódio de IUWorld Série de liderança inovadora em segurança cibernética GRC - Governance Risk & Compliance. Boas-vindas a todos vocês que se juntaram a nós neste webinar. 1st de tudo, deixe-me apresentar a equipe. Meu nome é Jeff Chau, diretor, transformação digital da IUWorld.
Comigo aqui hoje é Snehal Contractor do Stellar Cyber. Snehal é o vice-presidente responsável por serviços técnicos e de engenharia de sistemas mundiais.
Bem-vindo Snehal por se juntar a nós no IUWorld Série de liderança de pensamento. Em seguida, gostaria de apresentar IUWorld.
Estamos há 20 anos no mercado de TIC; enraizado em HK & Macau e no que agora chamamos de Greater Bay Area. Nossa clientela varia de bancos e instituições financeiras, governo e ONGs a empresas comerciais e resorts de jogos. Hoje nos especializamos em serviços de segurança cibernética com foco em inovações de GRC.
A maneira como trabalhamos é, por meio dessas inovações tecnológicas, criar um business case organizacional para resiliência de negócios. Eu gosto de chamá-lo “Projeto Transformacional”.
Vamos passar para o tópico de hoje - análise do comportamento da entidade do usuário (UEBA).
Reconhecendo a importância crescente da Tecnologia Regulatória (Regtech), um dos principais aspectos é observar o comportamento do usuário e da entidade em uma organização para gerenciamento de risco prudencial e conformidade regulatória.
Vamos dar uma olhada na definição de UEBA. É realmente sobre se alguém tem visibilidade em seu usuário / sistema dentro de seus dados, host de rede.
O que isso significa é como se pode monitorar as comunicações entre sistemas e interações humanas com aplicativos e a capacidade de identificar invasores internos / externos mal-intencionados que se infiltram em suas organizações.
Este é um caso de uso de Regtech na análise de atividades - como a IA pode ajudar a extrair ideias desses comportamentos (o que é considerado normal ou anomalia que pode ser identificada em tempo hábil).
É, de fato, para transparência, consistência e padronização como a organização fornece uma interpretação correta dos regulamentos.
JEF: Olá Snehal, hoje gostaria de saber sua opinião sobre a análise de comportamento de entidades de usuário. UEBA — e como você vê isso transformando a Governança, o Risco e a Conformidade
SNEHAL: Jeff, obrigado por mais uma sessão conosco. E eu concordo plenamente. UEBA está transformando a cibersegurança e, na verdade, está no centro das atenções devido ao nosso novo normal.
- Nossos clientes e parceiros dizem que agora têm muitos novos usuários remotos - alterando todas as suas linhas de base e criando novos vetores de ataque
- E muitas organizações têm ainda mais infraestrutura de nuvem e SaaS - potencialmente limitando a visibilidade e perda de controle
- Com esses desafios, UEBA garante o seu SOC A equipe pode descobrir ataques complexos mais rapidamente — usuários e entidades — sendo, em última análise, uma maneira estratégica de procurar por atacantes complexos.
JEF: Então você está dizendo isso UEBA é bastante estratégico com nosso novo normal?
SNEHAL: Jeff correto, e UEBA precisa de mais que SIEM Para obter informações sobre logs, tráfego de rede e conhecimento de aplicativos, nuvem e SaaS, é necessário ter uma visão abrangente da infraestrutura de TI. Ao correlacionar dados de um conjunto mais amplo de ferramentas, você pode identificar proativamente ataques complexos em toda a infraestrutura de TI. SIEMOs sistemas isolados não possuem essa visibilidade abrangente e obrigam você a usar seus talentosos analistas de segurança para escrever consultas.
Vemos AI - inteligência artificial— como um facilitador fundamental para ajudar uma comunidade mais ampla de empresas a aproveitar as vantagens das tecnologias avançadas. SOC soluções. Os computadores são bons em identificar padrões. A IA é uma forma de ajudar. SOC As equipes podem ser dimensionadas para que se concentrem em trabalhos estratégicos.
JEF: Entendo, IA é um assunto importante aqui em Hong Kong - antes de nos aprofundarmos UEBA, você pode compartilhar os desafios comuns que seus clientes enfrentaram antes de ajudá-los?
SNEHAL: Mesmo com todas as ferramentas certas instaladas, muitos de nossos clientes compartilharam falhas em vez de sucesso. O problema é a visibilidade - as organizações se deparam com usuários e entidades praticamente em todos os lugares.
- Na nuvem
- No local
- Em casa
- Passando pela rede física
Sua superfície de ataque está maior do que nunca - e - dinâmica
JEF: Vejo que é por isso que as ferramentas em silos não ajudam, você precisa examinar tudo e também entre as coisas!
SNEHAL: Correto Jeff, chamamos isso de visibilidade abrangente e temos tecnologia de sensor patenteada que garante que você veja em nuvem, endpoints, rede e usuários - em qualquer lugar !!
JEF: Para o novo normal, escalabilidade e interoperabilidade em ambientes heterogêneos são essenciais.
JEF: você pode mostrar ao nosso público essa ideia de visibilidade abrangente - como você rastreia o comportamento de um usuário ou entidade?
SNEHAL: Jeff, deixe-me abrir a GUI e chamar sua atenção para este botão COLETAR. Como você pode ver à esquerda, ingerimos muitas e muitas fontes de dados. À direita, você também verá conectores que nos ajudam a reunir dados de usuários e entidades da AWS, Microsoft365, Google Cloud e também e-mail, Syslogs e rede. A partir desses dados, estamos extraindo informações do usuário e da entidade. Agora, deixe-me detalhar um evento. Aqui, posso mostrar o poder de nossos registros Interflow, que capturam tudo sobre cada incidente de comportamento de usuário e entidade.
Realizamos Deep Packet Inspection - DPI - em todos os dados ingeridos e isso nos ajuda a ver ainda mais em sua superfície de ataque
Podemos ver ataques de túnel DNS. Podemos informar quais aplicativos estão sendo sequestrados. Combinamos todos esses dados com informações de ameaças de terceiros, como geolocalização, para garantir que você tenha uma visão completa para análise de segurança.
JEF: Snehal, impressionante, também vejo que é legível e, portanto, tenho certeza que você pode pesquisar esta informação
SNEHAL: Correto Jeff, temos um único data lake onde todos esses metadados são armazenados e realizamos análises de big data nele para ajudá-lo a ver as tendências - quando o comportamento do usuário ou entidade muda, nossa IA destaca isso como uma detecção anômala crítica.
JEF: Snehal, podemos agora ir mais fundo no comportamento do usuário, acho que você tem alguns insights interessantes aí.
SNEHAL: Obrigado Jeff, nós fazemos. Os hackers de hoje não atacam você das formas tradicionais - esta é a chave - uma abordagem de perímetro ou uma abordagem de captura de log não protege mais você. Agora, eles obtêm acesso a ativos de baixo perfil e começam a reunir inteligência sobre sistemas mais críticos por meio de movimentos laterais e, em seguida, buscam informações mais valiosas.
JEF: Você pode explicar o exemplo do slide?
SHEAL: Claro, digamos que você rotulou seu CEO como uma pessoa crítica e acabou de ver que ele se conectou em Tóquio e, em seguida, em Sydney, Austrália, duas horas depois. Esse é claramente um evento de viagem impossível, mas seu login era válido. Então você o vê usando comandos para acessar um aplicativo, digamos SSL para acessar dados em um servidor SQL.
JEF: Por que o CEO usaria SSL e por que procuraria dados SQL? Algo é muito suspeito e diferente de seu comportamento normal, mas todas as três ações ainda são válidas com base em tudo que podemos estabelecer a partir das ferramentas e dados existentes - certo?
SHEAL: Exatamente, Jeff, para resumir o que UEBA O que realmente precisamos é de uma maneira de reunir todas as suas ferramentas e feeds e processá-los com IA para ajudar a encontrar padrões, algo desenvolvido especificamente para encontrar os dados CERTOS. Chamamos isso de [nome da solução]. Abrir--XDR –detecção e resposta estendidas com a capacidade de integração com qualquer sistema, ferramenta ou fonte de dados. Assim como aprimoramos os firewalls com SIEMÉ hora de repensarmos como construímos um SOC. Uma coleção de ferramentas - ou - uma plataforma inteligente é a chave.
JEF: Então, pelo que ouvi, é sobre o comportamento do usuário com ampla visibilidade, essa parece ser uma ótima maneira de descobrir um hack?
SNEHAL: Isso é exatamente certo Jeff.
JEF: Obrigado, Snehal. Podemos analisar mais a fundo o Stellar Cyber? Open XDR plataforma? Mostre-nos especificamente como você pode identificar um ativo crítico e verificar se ele está infectado?
SNEHAL: Claro, Jeff. Primeiro, acabei de identificar um servidor infectado; ele foi invadido. Nosso UEBA A capacidade de análise ajudou a identificar a infecção. Vou bloquear o dispositivo para que não envie tráfego. Usei nossa biblioteca de Busca de Ameaças para acionar uma resposta e fechar a porta. Agora, vamos finalizar este caso de uso com a etapa final, verificando se o servidor está infectando outros dispositivos. Como discutimos inicialmente, essa é uma maneira comum de hackers infectarem outros dispositivos em seu ambiente por meio de movimentação lateral. Veja, muitos outros dispositivos agora precisam de atenção.
JEF: Obrigado Snehal, estou convencido de que posso ver que você realmente fez muito e que foi simples e realmente demorou apenas alguns minutos.
JEF: O último tópico que gostaria de abordar é Conformidade. Muitos de nossos clientes precisam passar por iniciativas de conformidade e governança anualmente ou com uma frequência ainda maior. Como sua plataforma oferece suporte a relatórios?
SNEHAL: Muito bem, Jeff, colocamos muitos recursos em nosso mecanismo de relatório, como você pode ver aqui. Temos muitos modelos pré-construídos, por exemplo, conformidade com PCI, conformidade CIS e conformidade HIPAA
JEF: Você pode criar relatórios de clientes facilmente?
SNEHAL: Claro, Jeff, podemos criar um relatório de cliente a partir de qualquer painel que temos na plataforma. Aqui você pode ver que tenho todas as falhas de login de usuário da Biblioteca de Threat Hunting. Posso editar facilmente o painel e criar um relatório de cliente a partir dele
JEF: Snehal, acho que precisamos encerrar isso, você pode resumir nossa discussão de hoje?
SNEHAL: Claro, Jeff, acho que o mais importante que posso dizer é que a visibilidade é a chave para o sucesso em segurança. Você não pode gerenciar o que não consegue ver – e isso significa em toda a sua superfície de ataque – nuvem, endpoint, rede e usuário – e, como ambos destacamos hoje, o comportamento do usuário e da entidade é estratégico para garantir que você possa ver ataques complexos. A vantagem da Stellar Cyber é que podemos trazer novos insights para ferramentas e telemetria em que você já confia; é nativa da nuvem e baseada em API aberta. Para governança, risco e conformidade em cibersegurança — UEBA Garante que você elimine pontos cegos que os registros por si só deixariam passar.
JEF: Obrigado Snehal, acho que esta sessão ajudou os clientes a verem que podem rastrear facilmente ativos críticos e usuários em nuvem, endpoints e rede - ajudando a simplificar a governança, relatórios de risco e conformidade - .. até a próxima vez
Para concluir, para transformar a segurança cibernética em uma plataforma centralizada e inteligente que é capaz de, sob a linha de base, pontos cegos disfarçados, complementar e integrar todas as ferramentas disponíveis e filtrar, normalizar e correlacionar eventos e incidentes em alertas críticos para ações de detecção e resposta.
É uma jornada contínua!
Muito obrigado.
