ส่วนที่ II: การจัดการพฤติกรรมผู้ใช้และเอนทิตี
(สนทนาและสาธิต 10 นาที)
เจฟฟ์: ยินดีต้อนรับสู่ 2nd ตอนของ ไอยูเวิลด์ ซีรีส์ความเป็นผู้นำทางความคิดใน Cybersecurity GRC - การกำกับดูแลความเสี่ยงและการปฏิบัติตามกฎระเบียบ ยินดีต้อนรับทุกท่านที่เข้าร่วมการสัมมนาผ่านเว็บนี้กับเรา 1st ทั้งหมดนี้ผมขอแนะนำทีม ชื่อของฉันคือ เจฟฟ์เชา, ผู้อำนวยการ, การเปลี่ยนแปลงทางดิจิทัลจาก IUWorld
กับฉันที่นี่วันนี้คือ Snehal Contractor จาก Stellar Cyber Snehal เป็นรองประธานที่รับผิดชอบด้านวิศวกรรมระบบและบริการด้านเทคนิคทั่วโลก
ยินดีต้อนรับ Snehal สำหรับการเข้าร่วมกับเรา ไอยูเวิลด์ ซีรีส์ผู้นำทางความคิด ต่อไปผมอยากจะแนะนำ ไอยูเวิลด์.
เราอยู่ในธุรกิจ ICT มา 20 ปี มีรากฐานมาจากฮ่องกงและมาเก๊าและปัจจุบันเราเรียกว่า Greater Bay Area ลูกค้าของเรามีตั้งแต่ธนาคารและสถาบันการเงินรัฐบาลและองค์กรพัฒนาเอกชนไปจนถึงองค์กรการค้าและรีสอร์ทสำหรับเล่นเกม วันนี้เราเชี่ยวชาญในบริการรักษาความปลอดภัยทางไซเบอร์โดยมุ่งเน้นที่นวัตกรรม GRC
วิธีการทำงานของเราคือผ่านนวัตกรรมเทคโนโลยีเหล่านี้เพื่อสร้างกรณีธุรกิจขององค์กรเพื่อความยืดหยุ่นทางธุรกิจ ฉันชอบที่จะเรียกมันว่า “ โครงการการเปลี่ยนแปลง”.
ไปที่หัวข้อของวันนี้กัน - การวิเคราะห์พฤติกรรมของเอนทิตีผู้ใช้ (UEBA).
ตระหนักถึงความสำคัญที่เพิ่มมากขึ้นของ Regulatory Technology (Regtech) หนึ่งในประเด็นสำคัญคือการพิจารณาพฤติกรรมของผู้ใช้และหน่วยงานในองค์กรเพื่อการจัดการความเสี่ยงอย่างรอบคอบและการปฏิบัติตามกฎระเบียบ
ลองมาดูคำจำกัดความของ UEBA. เป็นเรื่องเกี่ยวกับว่ามีการมองเห็นผู้ใช้ / ระบบภายในข้อมูลโฮสต์เครือข่ายหรือไม่
ความหมายคือวิธีที่เราสามารถตรวจสอบการสื่อสารระหว่างระบบกับระบบและจากการโต้ตอบของมนุษย์กับแอปพลิเคชันและความสามารถในการระบุบุคคลภายในที่เป็นอันตราย / ผู้โจมตีภายนอกที่แทรกซึมเข้าไปในองค์กรของตน
นี่คือกรณีการใช้งานของ Regtech เกี่ยวกับการวิเคราะห์กิจกรรม - AI จะช่วยดึงข้อมูลเชิงลึกจากพฤติกรรมเหล่านี้ได้อย่างไร (สิ่งที่ถือเป็นเรื่องปกติหรือความผิดปกติที่สามารถระบุได้อย่างทันท่วงที)
เป็นไปเพื่อความโปร่งใสความสม่ำเสมอและการกำหนดมาตรฐานว่าองค์กรจะตีความกฎระเบียบได้อย่างไร
เจฟฟ์: สวัสดี สเนฮาล วันนี้ฉันอยากทราบความคิดเห็นของคุณเกี่ยวกับการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (User Entity Behavior Analysis) – UEBA — และคุณมองว่ามันจะเปลี่ยนแปลงการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบอย่างไร
สเนฮาล: เจฟ ขอบคุณที่จัดเซッションอีกครั้งกับพวกเรา และผมเห็นด้วยอย่างยิ่งครับ UEBA กำลังเปลี่ยนแปลงระบบรักษาความปลอดภัยทางไซเบอร์ และที่สำคัญคือเป็นหัวใจหลักของสถานการณ์ปกติใหม่ของเรา
- ลูกค้าและคู่ค้าของเราบอกว่าตอนนี้พวกเขามีผู้ใช้ระยะไกลใหม่ ๆ จำนวนมากซึ่งเปลี่ยนพื้นฐานทั้งหมดของคุณและสร้างเวกเตอร์การโจมตีใหม่
- และหลายองค์กรมีโครงสร้างพื้นฐานระบบคลาวด์และ SaaS มากขึ้นซึ่งอาจ จำกัด การมองเห็นและสูญเสียการควบคุม
- ด้วยความท้าทายเหล่านี้ UEBA ช่วยให้คุณมั่นใจได้ SOC ทีมสามารถค้นพบการโจมตีที่ซับซ้อนได้รวดเร็วยิ่งขึ้น—ผู้ใช้และหน่วยงานต่างๆ ในท้ายที่สุดแล้ว เป็นวิธีการเชิงกลยุทธ์ในการค้นหาผู้โจมตีที่ซับซ้อน
เจฟฟ์: คุณกำลังพูดแบบนั้น UEBA ค่อนข้างเป็นกลยุทธ์กับปกติใหม่ของเรา?
สเนฮาล: แก้ไข Jeff และ UEBA ต้องการมากกว่า SIEM นอกเหนือจากบันทึกข้อมูลแล้ว คุณยังต้องมีความเข้าใจเกี่ยวกับปริมาณการรับส่งข้อมูลเครือข่าย แอปพลิเคชัน คลาวด์ และ SaaS ด้วยการเชื่อมโยงข้อมูลจากเครื่องมือที่หลากหลายมากขึ้น คุณจะสามารถรวบรวมข้อมูลเพื่อวิเคราะห์การโจมตีที่ซับซ้อนในโครงสร้างพื้นฐานด้านไอทีทั้งหมดได้อย่างมีประสิทธิภาพ SIEMการใช้ฐานข้อมูลเพียงอย่างเดียวจะขาดข้อมูลเชิงลึกที่ครอบคลุม และบังคับให้คุณต้องใช้ผู้เชี่ยวชาญด้านความปลอดภัยที่มีความสามารถของคุณในการเขียนคำสั่งค้นหาข้อมูล
เราเห็น AI - ปัญญาประดิษฐ์— ในฐานะตัวขับเคลื่อนสำคัญที่จะช่วยให้กลุ่มบริษัทต่างๆ ในวงกว้างสามารถใช้ประโยชน์จากเทคโนโลยีขั้นสูงได้ SOC วิธีแก้ปัญหา คอมพิวเตอร์เก่งในการมองเห็นรูปแบบ ปัญญาประดิษฐ์เป็นวิธีหนึ่งที่จะช่วยได้ SOC ทีมสามารถปรับขนาดได้ เพื่อให้พวกเขาสามารถมุ่งเน้นไปที่งานเชิงกลยุทธ์ได้
เจฟฟ์: ฉันเห็นว่า AI เป็นประเด็นร้อนที่นี่ในฮ่องกง - ก่อนที่เราจะเจาะลึกลงไป UEBAคุณสามารถแบ่งปันความท้าทายทั่วไปที่ลูกค้าของคุณมีก่อนที่จะช่วยเหลือพวกเขาได้หรือไม่?
สเนฮาล: แม้จะมีเครื่องมือที่เหมาะสมทั้งหมด แต่ลูกค้าของเราหลายคนก็แบ่งปันความล้มเหลวมากกว่าความสำเร็จ ปัญหาคือการมองเห็น - องค์กรต้องเผชิญกับผู้ใช้และหน่วยงานแทบทุกที่
- ในคลาวด์
- บนสมมติฐาน
- ที่บ้าน
- ผ่านเครือข่ายทางกายภาพ
พื้นผิวการโจมตีของคุณใหญ่กว่าที่เคย - และ - ไดนามิก
เจฟฟ์: ฉันเห็นว่านี่เป็นสาเหตุที่ทำไมเครื่องมือที่ไม่สามารถช่วยได้คุณต้องมองข้ามทุกสิ่งและระหว่างสิ่งต่างๆด้วย!
สเนฮาล: ถูกต้อง Jeff เราเรียกสิ่งนี้ว่าการมองเห็นที่ครอบคลุมและมีเทคโนโลยีเซ็นเซอร์ที่ได้รับการจดสิทธิบัตรซึ่งช่วยให้คุณมองเห็นได้ทั่วทั้งระบบคลาวด์ปลายทางเครือข่ายและผู้ใช้ - ทุกที่ !!
เจฟฟ์: สำหรับปกติใหม่ความสามารถในการปรับขนาดและความสามารถในการทำงานร่วมกันในสภาพแวดล้อมที่แตกต่างกันเป็นสิ่งสำคัญ
เจฟฟ์: คุณสามารถแสดงให้ผู้ชมของเราเห็นแนวคิดเกี่ยวกับการเปิดเผยที่ครอบคลุมนี้ได้หรือไม่คุณจะติดตามพฤติกรรมของผู้ใช้หรือหน่วยงานได้อย่างไร
สเนฮาล: เจฟฟ์ให้ฉันเปิด GUI แล้วดึงความสนใจของคุณมาที่ปุ่ม COLLECT นี้ ดังที่คุณเห็นทางด้านซ้ายเรานำเข้าข้อมูลจำนวนมากและแหล่งข้อมูลจำนวนมาก ทางด้านขวาคุณจะเห็นตัวเชื่อมต่อที่ช่วยให้เรารวบรวมข้อมูลผู้ใช้และเอนทิตีจาก AWS, Microsoft365, Google Cloud และอีเมล, Syslogs, เครือข่าย จากข้อมูลเหล่านี้เรากำลังแยกข้อมูลผู้ใช้และเอนทิตี ตอนนี้ขอเจาะลึกเหตุการณ์ ที่นี่ฉันสามารถแสดงให้คุณเห็นถึงพลังของระเบียน Interflow ของเราซึ่งรวบรวมทุกอย่างเกี่ยวกับเหตุการณ์ของพฤติกรรมผู้ใช้และเอนทิตีแต่ละครั้ง
เราดำเนินการตรวจสอบแพ็กเก็ตแบบลึก - DPI - กับข้อมูลทั้งหมดที่นำเข้าและช่วยให้เรามองเห็นพื้นผิวการโจมตีของคุณได้มากขึ้น
เราสามารถเห็นการโจมตีอุโมงค์ DNS เราสามารถบอกคุณได้ว่ามีการลักลอบใช้แอปพลิเคชันใดบ้าง เรารวมข้อมูลทั้งหมดนี้เข้ากับข้อมูลภัยคุกคามของบุคคลที่สามเช่นตำแหน่งทางภูมิศาสตร์เพื่อให้แน่ใจว่าคุณมีภาพที่สมบูรณ์สำหรับการวิเคราะห์ความปลอดภัย
เจฟฟ์: Snehal น่าประทับใจฉันเห็นว่ามันอ่านได้ดังนั้นฉันมั่นใจว่าคุณสามารถค้นหาข้อมูลนี้ได้
สเนฮาล: ถูกต้องเจฟฟ์เรามีดาต้าเลคเดียวที่จัดเก็บข้อมูลเมตาทั้งหมดนี้และเราทำการวิเคราะห์ข้อมูลขนาดใหญ่เพื่อช่วยให้คุณเห็นแนวโน้ม - เมื่อพฤติกรรมของผู้ใช้หรือเอนทิตีเปลี่ยนแปลงไป AI ของเราจะเน้นว่านี่เป็นการตรวจจับความผิดปกติที่สำคัญ
เจฟฟ์: ตอนนี้ Snehal สามารถเจาะลึกพฤติกรรมผู้ใช้ได้แล้วฉันคิดว่าคุณมีข้อมูลเชิงลึกที่น่าสนใจอยู่ที่นั่น
สเนฮาล: ขอบคุณเจฟเราทำ แฮกเกอร์ในปัจจุบันไม่ได้โจมตีคุณในรูปแบบเดิม ๆ สิ่งนี้คือกุญแจสำคัญ - วิธีการรอบด้านหรือวิธีการดักจับบันทึกจะไม่ทำให้คุณปลอดภัยอีกต่อไป ตอนนี้พวกเขาสามารถเข้าถึงทรัพย์สินที่มีรายละเอียดต่ำและเริ่มรวบรวมข้อมูลเกี่ยวกับระบบที่สำคัญมากขึ้นผ่านการเคลื่อนไหวด้านข้างจากนั้นพวกเขาก็ไปหาข้อมูลที่มีค่ามากขึ้น
เจฟฟ์: คุณสามารถอธิบายตัวอย่างบนสไลด์ได้หรือไม่?
หอยเชลล์: แน่นอนสมมติว่าคุณติดแท็กซีอีโอของคุณว่าเป็นบุคคลสำคัญและคุณเพิ่งเห็นว่าพวกเขาเข้าสู่ระบบในโตเกียวและจากนั้นในซิดนีย์ออสเตรเลียในอีกสองชั่วโมงต่อมา เห็นได้ชัดว่าเป็นเหตุการณ์การเดินทางที่เป็นไปไม่ได้ แต่การเข้าสู่ระบบของเขาก็ถูกต้อง จากนั้นคุณเห็นเขาใช้คำสั่งเพื่อเข้าถึงแอปพลิเคชันพูดว่า SSL เพื่อเข้าถึงข้อมูลบนเซิร์ฟเวอร์ SQL
เจฟฟ์: ทำไม CEO ถึงใช้ SSL และทำไมเขาถึงมองหาข้อมูล SQL? มีบางอย่างที่น่าสงสัยและแตกต่างจากพฤติกรรมปกติของเขามาก แต่การกระทำทั้งสามยังคงถูกต้องตามทุกสิ่งที่เราสามารถสร้างได้จากเครื่องมือและข้อมูลที่มีอยู่ใช่ไหม?
หอยเชลล์: ถูกต้องเลยเจฟฟ์ สรุปได้ว่า... UEBA สิ่งที่เราต้องการจริงๆ คือวิธีการนำเครื่องมือและแหล่งข้อมูลทั้งหมดมารวมกัน และประมวลผลด้วย AI เพื่อช่วยค้นหารูปแบบ และสร้างขึ้นมาโดยเฉพาะเพื่อค้นหาข้อมูลที่ถูกต้อง เราเรียกสิ่งนี้ว่า... เปิด--XDR – การตรวจจับและการตอบสนองที่ขยายวงกว้างขึ้น ด้วยความสามารถในการผสานรวมกับระบบ เครื่องมือ หรือแหล่งข้อมูลใดๆ ก็ได้ เช่นเดียวกับที่เราได้เสริมประสิทธิภาพไฟร์วอลล์ด้วย SIEMดังนั้น ถึงเวลาแล้วที่เราจะต้องทบทวนวิธีการสร้าง... SOC. ชุดเครื่องมือหรือแพลตฟอร์มอัจฉริยะคือกุญแจสำคัญ
เจฟฟ์: วิธีที่ฉันได้ยินคือมันเกี่ยวกับพฤติกรรมของผู้ใช้ที่มีการมองเห็นที่กว้างซึ่งดูเหมือนจะเป็นวิธีที่ดีในการค้นพบการแฮ็ก?
สเนฮาล: ใช่แล้วเจฟฟ์
เจฟฟ์: ขอบคุณสเนฮาล เรามาดูรายละเอียดเพิ่มเติมเกี่ยวกับ Stellar Cyber กันได้ไหม Open XDR แพลตฟอร์มไหน? ช่วยแสดงให้เราดูหน่อยได้ไหมว่าคุณจะระบุสินทรัพย์ที่สำคัญและตรวจสอบว่าสินทรัพย์นั้นติดไวรัสหรือไม่?
สเนฮาล: แน่นอน เจฟฟ์ ก่อนอื่นเลย ผมเพิ่งตรวจพบเซิร์ฟเวอร์ที่ติดไวรัส มันถูกแฮ็กแล้วครับ UEBA ความสามารถนี้ช่วยระบุการติดเชื้อได้ ฉันจะบล็อกไม่ให้อุปกรณ์ส่งข้อมูล ฉันใช้ไลบรารีการล่าภัยคุกคามของเราเพื่อกระตุ้นการตอบสนอง โดยการปิดพอร์ต ตอนนี้ เรามาจบกรณีการใช้งานนี้ด้วยขั้นตอนสุดท้าย โดยตรวจสอบว่าเซิร์ฟเวอร์กำลังแพร่เชื้อไปยังอุปกรณ์อื่นหรือไม่ อย่างที่เราได้พูดคุยกันในตอนแรก นี่เป็นวิธีทั่วไปที่แฮกเกอร์แพร่เชื้อไปยังอุปกรณ์อื่นในสภาพแวดล้อมของคุณโดยการเคลื่อนย้ายแบบแนวนอน เห็นไหม ตอนนี้มีอุปกรณ์อื่นๆ อีกมากมายที่ต้องการการตรวจสอบ
เจฟฟ์: ขอบคุณ Snehal ฉันเชื่อว่าฉันเห็นว่าคุณทำอะไรได้มากมายและมันง่ายมากและใช้เวลาเพียงไม่กี่นาทีเท่านั้น
เจฟฟ์: หัวข้อสุดท้ายที่ฉันต้องการจะกล่าวถึงคือการปฏิบัติตามข้อกำหนด ลูกค้าของเราจำนวนมากต้องผ่านการริเริ่มด้านการปฏิบัติตามกฎระเบียบและการกำกับดูแลเป็นประจำทุกปีหรือบ่อยกว่านั้น แพลตฟอร์มของคุณรองรับการรายงานอย่างไร
สเนฮาล: จุดที่ยอดเยี่ยม Jeff เราได้เพิ่มความสามารถมากมายให้กับเครื่องมือการรายงานของเราดังที่คุณเห็นที่นี่ เรามีเทมเพลตที่สร้างไว้ล่วงหน้ามากมายตัวอย่างเช่นการปฏิบัติตาม PCI การปฏิบัติตาม CIS และการปฏิบัติตามข้อกำหนด HIPAA
เจฟฟ์: คุณสามารถสร้างรายงานลูกค้าได้อย่างง่ายดายหรือไม่?
สเนฮาล: แน่นอนว่าเจฟฟ์สามารถสร้างรายงานลูกค้าจากแดชบอร์ดใดก็ได้ที่เรามีในแพลตฟอร์มที่นี่คุณจะเห็นว่าฉันมีข้อผิดพลาดในการเข้าสู่ระบบของผู้ใช้ทั้งหมดจาก Threat Hunting Library ฉันสามารถแก้ไขแดชบอร์ดและสร้างรายงานลูกค้าได้อย่างง่ายดาย
เจฟฟ์: Snehal ฉันคิดว่าเราต้องสรุปเรื่องนี้คุณสามารถสรุปการสนทนาของเราในวันนี้ได้หรือไม่?
สเนฮาล: แน่นอน เจฟฟ์ ผมคิดว่าสิ่งสำคัญที่สุดที่ผมอยากจะบอกคือ การมองเห็นเป็นกุญแจสำคัญสู่ความสำเร็จในด้านความปลอดภัย คุณไม่สามารถจัดการสิ่งที่คุณมองไม่เห็นได้ และนั่นหมายถึงทั่วทั้งพื้นผิวการโจมตีของคุณ ไม่ว่าจะเป็นคลาวด์ อุปกรณ์ปลายทาง เครือข่าย และผู้ใช้ และอย่างที่เราทั้งคู่ได้เน้นย้ำในวันนี้ พฤติกรรมของผู้ใช้และเอนทิตีมีความสำคัญเชิงกลยุทธ์ในการรับประกันว่าคุณจะสามารถมองเห็นการโจมตีที่ซับซ้อนได้ ข้อได้เปรียบของ Stellar Cyber คือเราสามารถนำข้อมูลเชิงลึกใหม่ๆ มาสู่เครื่องมือและข้อมูลการวัดที่คุณไว้วางใจอยู่แล้ว มันเป็นระบบคลาวด์เนทีฟและขับเคลื่อนด้วย API แบบเปิด สำหรับการกำกับดูแลด้านความปลอดภัยทางไซเบอร์ ความเสี่ยง และการปฏิบัติตามข้อกำหนด — UEBA ช่วยให้คุณปิดจุดบอดที่ท่อนไม้ธรรมดาอาจเล็ดลอดเข้ามาได้
เจฟฟ์: ขอบคุณ Snehal ฉันคิดว่าเซสชั่นนี้ช่วยให้ลูกค้าเห็นว่าพวกเขาสามารถติดตามทรัพย์สินและผู้ใช้ที่สำคัญผ่านระบบคลาวด์ปลายทางและเครือข่ายได้อย่างง่ายดายซึ่งจะช่วยลดความซับซ้อนของการกำกับดูแลการรายงานความเสี่ยงและการปฏิบัติตามข้อกำหนด - .. จนถึงครั้งต่อไป
สรุปได้ว่าสำหรับการเปลี่ยน Cybersecurity ให้เป็นแพลตฟอร์มส่วนกลางและอัจฉริยะที่สามารถภายใต้พื้นฐานปิดจุดบอดชมเชยและผสานรวมเครื่องมือทั้งหมดที่มีและกรองทำให้เป็นมาตรฐานและเชื่อมโยงเหตุการณ์และเหตุการณ์ต่างๆเป็นการแจ้งเตือนที่สำคัญสำหรับการตรวจจับและการตอบสนอง
เป็นการเดินทางต่อเนื่อง!
ขอบคุณมาก
