Bahagi II: Pamamahala sa Pag-uugali ng Gumagamit at Entity
(10 minutong talakayan at demo)
Jeff: Maligayang pagdating sa 2nd Episode ng IUWorld Naisip na Serye ng Pamumuno sa Cybersecurity GRC - Panganib at Pagsunod sa Pamahalaang. Malaking pagbati sa inyong lahat na sumali sa amin sa webinar na ito. 1st sa lahat, ipakilala ko ang koponan. Ang pangalan ko ay Jeff Chau, director, digital transformation mula sa IUWorld.
Sa akin dito ngayon ay Snehal Contractor mula sa Stellar Cyber. Si Snehal ay ang Bise Presidente na responsable para sa Worldwide System Engineering & Technical Services.
Maligayang pagdating Snehal para sa pagsali sa amin ang IUWorld Naisip na serye ng pamumuno. Susunod, gusto kong ipakilala IUWorld.
Kami ay 20 taon sa negosyo ng ICT; nakaugat sa HK & Macau at ang tinatawag nating Greater Bay Area ngayon. Ang aming mga kliyente ay mula sa mga bangko at institusyong pampinansyal, Gobyerno at mga NGO hanggang sa mga komersyal na negosyo at Mga resort sa gaming. Ngayon ay nagdadalubhasa kami sa mga serbisyo sa Cybersecurity na nakatuon sa mga makabagong ideya ng GRC.
Ang paraan ng aming pagtatrabaho ay, sa pamamagitan ng mga makabagong teknolohiya, upang mabuo ang kaso ng pang-organisasyon na negosyo para sa katatagan ng negosyo. Gusto kong tawagan ito "Transformational Project".
Lumipat tayo sa paksa ngayon - pagsusuri ng pag-uugali ng entidad ng gumagamit (UEBA).
Kinikilala ang lumalaking kahalagahan ng Regulatory Technology (Regtech), ang isa sa mga pangunahing aspeto ay upang tingnan ang pag-uugali ng gumagamit at entity sa isang samahan para sa pangangalaga sa peligro sa pangangalaga at pagsunod sa regulasyon.
Tingnan natin ang kahulugan ng UEBA. Talagang tungkol ito sa kung ang isa ay may kakayahang makita sa gumagamit / system sa loob ng kanilang data, host ng network.
Ang ibig sabihin nito ay kung paano masubaybayan ng isa ang mga komunikasyon sa system-to-system at mula sa mga pakikipag-ugnayan ng tao sa mga aplikasyon at kakayahang makilala ang mga nakakahamak na tagaloob / panlabas na umaatake na pumapasok sa kanilang mga samahan.
Ito ay isang kaso ng paggamit ng Regtech sa analytics ng mga aktibidad - kung paano makakatulong ang AI upang gumuhit ng mga pananaw mula sa mga pag-uugaling ito (ano ang itinuturing na normal o anomalya na maaaring makilala sa isang napapanahong paraan).
Ito ay talagang para sa transparency, pare-pareho at standardisasyon kung paano naghahatid ang samahan ng mahusay na interpretasyon ng mga regulasyon.
JEFF: Kumusta Snehal, ngayon ay gusto ko ang iyong mga saloobin tungkol sa pagsusuri ng Ugali ng Entidad ng Gumagamit – UEBA — at kung paano mo nakikitang binabago nito ang Pamamahala, Panganib at Pagsunod
SNEHAL: Jeff, salamat sa pagho-host ng isa na namang sesyon kasama namin. At lubos akong sumasang-ayon. UEBA ay nagbabago sa cybersecurity at sa katunayan — sentro ng atensyon — dahil sa ating bagong normal
- Sinasabi ng aming mga customer at kasosyo ngayon na mayroon silang maraming mga bagong malayuang gumagamit — binabago ang lahat ng iyong mga baseline at lumilikha ng mga bagong vector ng pag-atake
- At maraming mga samahan ang may higit pang mga imprastraktura ng ulap at SaaS — potensyal na nililimitahan ang kakayahang makita at pagkawala ng kontrol
- Sa mga hamong ito, UEBA tinitiyak ang iyong SOC mas mabilis na matutuklasan ng koponan ang mga kumplikadong pag-atake—Mga Gumagamit at Entidad sa huli, isang estratehikong paraan upang maghanap ng mga kumplikadong umaatake
JEFF: Ganun din ba sinasabi mo UEBA Ay medyo madiskarteng sa aming bagong normal?
SNEHAL: Tamang Jeff, at UEBA nangangailangan ng higit pa sa SIEM mga log, kailangan mo ng trapiko sa network, at kamalayan sa application, kamalayan sa cloud at SaaS. Sa pamamagitan ng pag-uugnay ng data sa mas malawak na hanay ng mga tool, maaari mong proactive na pagsama-samahin ang mga kumplikadong pag-atake sa lahat ng imprastraktura ng IT. SIEMIto lamang ang kulang sa komprehensibong kakayahang makita at mapipilitan kang gamitin ang iyong mahuhusay na security analyst upang magsulat ng mga query.
Nakikita namin AI - artipisyal na katalinuhan— bilang isang pangunahing tagapagtaguyod upang matulungan ang mas malawak na komunidad ng mga kumpanya na samantalahin ang mga makabagong SOC mga solusyon. Mahusay ang mga kompyuter sa pagtingin ng mga pattern. Ang AI ay isang paraan upang makatulong SOC lumalawak ang mga koponan, para makapagtuon sila sa mga estratehikong gawain.
JEFF: Nakikita ko, ang AI ay mainit na paksa dito sa Hong Kong - Bago natin talakayin nang mas malalim UEBA, maaari mo bang ibahagi ang mga karaniwang hamon na mayroon ang iyong mga customer bago mo sila tulungan?
SNEHAL: Kahit na sa lahat ng mga tamang tool sa lugar, marami sa aming mga customer ang nagbahagi ng mga pagkabigo kaysa sa tagumpay. Ang isyu ay kakayahang makita - ang mga samahan ay nahaharap sa mga gumagamit at entity na halos saanman.
- Sa ulap
- Sa premise
- Sa bahay
- Pagdaan sa pisikal na network
Ang iyong ibabaw ng pag-atake ay mas malaki kaysa dati - at - pabago-bago
JEFF: Nakikita ko ito kung bakit hindi makakatulong ang mga siled tool, kailangan mong tingnan ang lahat at nasa pagitan din ng mga bagay!
SNEHAL: Tama Jeff, tawagan namin ang komprehensibong kakayahang makita na ito at may patentadong teknolohiya ng sensor na tinitiyak na nakikita mo sa buong ulap, mga endpoint, network at mga gumagamit — saanman !!
JEFF: Para sa bagong normal, scalability at interoperability sa buong heterogenous na mga kapaligiran ay mahalaga pagkatapos.
JEFF: maaari mong ipakita sa aming tagapakinig ang ideyang ito ng komprehensibong kakayahang makita — paano mo masusubaybayan ang pag-uugali ng isang gumagamit o entity?
SNEHAL: Jeff, sigurado na buksan ko ang GUI at iguhit ang iyong pansin sa COLLECT button na ito. Tulad ng nakikita mo sa kaliwa, maraming mga mapagkukunan ng data ang nainisin namin. Sa kanan, nakikita mo rin ang mga konektor na makakatulong sa amin na makalikom ng data ng gumagamit at entity mula sa AWS, Microsoft365, Google Cloud, at email din, Syslogs, network. Mula sa data na ito, kumukuha kami ng impormasyon ng gumagamit at entity. Ngayon, hayaan mo akong mag-drill sa isang kaganapan. Dito, maipapakita ko sa iyo ang lakas ng aming mga tala ng Interflow, na kinukuha ang lahat tungkol sa bawat insidente ng pag-uugali ng gumagamit at entity.
Nagsasagawa kami ng Deep Packet Inspection - DPI - sa lahat ng na-ingest na data at makakatulong sa amin na makita ang higit pa sa iyong atake sa ibabaw
Maaari naming makita ang mga pag-atake sa tunneling ng DNS. Maaari naming sabihin sa iyo kung anong mga application ang na-hijack. Pinagsama namin ang lahat ng data na ito sa intel na banta ng 3rd party tulad ng geolocation upang matiyak na mayroon kang isang kumpletong larawan para sa pagtatasa ng seguridad.
JEFF: Snehal, kahanga-hanga, nakikita ko rin itong nababasa at sa gayon ay sigurado akong maaari kang maghanap sa impormasyong ito
SNEHAL: Tama Jeff, mayroon kaming isang solong lawa ng data kung saan nakaimbak ang lahat ng data ng meta na ito at nagsasagawa kami ng malaking pagtatasa ng data dito upang matulungan kang makita ang mga kalakaran - kapag nagbago ang pag-uugali ng gumagamit o nilalang, ang aming AI ay nagha-highlight nito bilang isang kritikal na maanomalyang pagtuklas.
JEFF: Snehal maaari ba tayo ngayong lumalim sa pag-uugali ng gumagamit, sa palagay ko mayroon kang ilang mga kagiliw-giliw na pananaw doon.
SNEHAL: Salamat Jeff, ginagawa namin. Ang mga hacker ngayon ay hindi ka inaatake sa mga tradisyunal na paraan — ito ang susi — isang diskarte sa perimeter, o isang diskarte sa pagkuha ng log na hindi ka na nasisiguro. Ngayon, nakakuha sila ng pag-access sa mga low-profile na assets at nagsimulang mangalap ng katalinuhan tungkol sa mas kritikal na mga sistema sa pamamagitan ng paggalaw ng pag-ilid, pagkatapos ay pumunta sila para sa mas maraming mahalagang impormasyon.
JEFF: Maaari mo bang ipaliwanag ang halimbawa sa slide?
SNHEAL: Oo naman, sabihin nating nai-tag mo ang iyong CEO bilang isang kritikal na tao, at makikita mo lang na nag-log in sila sa Tokyo at pagkatapos ay sa Sydney Australia makalipas ang dalawang oras. Maliwanag na isang imposibleng kaganapan sa paglalakbay iyon, ngunit wasto ang kanyang pag-log in. Pagkatapos ay nakikita mo siyang gumagamit ng mga utos upang ma-access ang isang application, sabihin ang SSL upang ma-access ang data sa isang SQL server.
JEFF: Bakit gagamit ng SSL ang CEO at bakit siya maghahanap ng data ng SQL? May isang bagay na kahina-hinala at naiiba kaysa sa kanyang normal na pag-uugali, ngunit ang lahat ng tatlong mga aksyon ay may bisa pa rin batay sa lahat ng maaari nating maitaguyod mula sa mga mayroon nang mga tool at data — tama ba?
SNHEAL: Eksakto si Jeff, para ibuod kung ano UEBA talagang kailangan ay isang paraan upang pagsamahin ang lahat ng iyong mga tool at feed, at iproseso ito gamit ang AI upang makatulong na makahanap ng mga pattern, at sadyang ginawa upang mahanap ang TAMANG data. Tinatawag namin itong Bukas-—XDR –pinalawak na pagtuklas at tugon na may kakayahang mag-integrate sa anumang system, tool o data feed. Tulad ng pagpapalawak namin ng mga firewall gamit ang SIEMs, panahon na para pag-isipang muli kung paano tayo bubuo ng isang SOC. Isang koleksyon ng mga tool - o - isang matalinong platform ang susi.
JEFF: Kaya't ang paraan na naririnig ko ito ay, ito ay tungkol sa pag-uugali ng gumagamit na may malawak na kakayahang makita, na tila isang mahusay na paraan upang matuklasan ang isang pag-hack?
SNEHAL: Sakto talaga Jeff.
JEFF: Salamat Snehal, maaari ba nating suriin nang mas malaliman ang Stellar Cyber's? Open XDR plataporma? Partikular na ipakita sa amin kung paano mo matutukoy ang isang kritikal na asset at tingnan kung ito ay nahawaan?
SNEHAL: Sige Jeff, Una, may natukoy akong nahawaang server, na-hack ito. Ang ating UEBA Nakatulong ang kakayahan na matukoy ang impeksyon. Harangan ko ang device sa pagpapadala ng trapiko. Ginamit ko ang aming Threat Hunting library para mag-trigger ng tugon, para isara ang port. Ngayon, tapusin natin ang use case na ito sa huling hakbang, sa pamamagitan ng pagtingin kung ang server ay nakakahawa na ngayon ng ibang device, tulad ng una nating tinalakay, ito ay isang karaniwang paraan ng paghawa ng mga hacker sa ibang device sa iyong kapaligiran sa pamamagitan ng pagkakaroon ng lateral movement. Kita mo, maraming iba pang device na ngayon ang nangangailangan ng atensyon.
JEFF: Salamat Snehal, Sigurado ako na nakikita kita ng marami talagang nagawa at iyon ay simple at talagang tumagal ng ilang minuto.
JEFF: Ang huling paksang nais kong sakupin ay ang Pagsunod. Marami sa aming mga kliyente ang kailangang pumasa sa mga hakbangin sa pagsunod at pamamahala taun-taon o mas madalas. Paano sinusuportahan ng iyong platform ang pag-uulat?
SNEHAL: Mahusay na point Jeff naglagay kami ng maraming mga kakayahan sa aming nag-uulat na engine tulad ng nakikita mo rito. Marami kaming mga pre built template, halimbawa, pagsunod sa PCI, pagsunod sa CIS at pagsunod sa HIPAA
JEFF: Madali mo bang mabubuo ang mga ulat sa customer?
SNEHAL: Sure Jeff maaari kaming bumuo ng isang ulat ng customer mula sa anumang dashboard na mayroon kami sa platform, dito makikita mo na mayroon akong lahat ng mga pagkabigo sa pag-login ng gumagamit mula sa Threat Hunting Library. Napakadali kong mai-edit ang dashboard at lumikha ng isang ulat ng customer mula rito
JEFF: Snehal, sa palagay ko kailangan nating balutin ito, maaari mo bang buod ang aming talakayan ngayon?
SNEHAL: Sige Jeff, sa tingin ko ang pinakamahalagang bagay na masasabi ko ay ang visibility ang susi sa tagumpay sa seguridad. Hindi mo mapamahalaan ang hindi mo nakikita – at ibig sabihin niyan ay sa buong surface ng iyong attack – cloud, endpoint, network at user – at gaya ng ating binigyang-diin ngayon, ang pag-uugali ng user at entity ay estratehiko upang matiyak na makikita mo ang mga kumplikadong pag-atake. Ang bentahe ng Stellar Cyber ay maaari kaming magdala ng mga bagong insight sa mga tool at telemetry na pinagkakatiwalaan mo na, ito ay cloud native at open API driven. Para sa pamamahala, panganib at pagsunod sa cybersecurity — UEBA tinitiyak na isasara mo ang mga blind spot na kayang daanan ng mga troso lamang.
JEFF: Salamat Snehal, sa palagay ko natulungan ng session na ito ang mga kliyente na makita na madali nilang masusubaybayan ang mga kritikal na assets at mga gumagamit sa ulap, mga endpoint, at network - tumutulong na gawing simple ang pag-uulat sa pamamahala, panganib at pagsunod - .. hanggang sa susunod
Upang tapusin, para sa pagbabago ng Cybersecurity sa isang sentralisadong at matalinong platform na maaaring sa ilalim ng baseline, undercover blindspots, papuri at isama ang lahat ng mga tool na magagamit at i-filter, gawing normal at iugnay ang mga kaganapan at insidente sa mga kritikal na alerto para sa pagkakita at mga tugon sa pagtugon.
Ito ay tuluy-tuloy na paglalakbay!
Maraming salamat sa inyo.
