Phần II: Quản lý hành vi người dùng và pháp nhân
(Thảo luận và demo 10 phút)
Jeff: Chào mừng đến với 2nd Tập của IUWorld Chuỗi tư tưởng lãnh đạo trong GRC an ninh mạng - Rủi ro và tuân thủ quản trị. Xin chào mừng tất cả các bạn đã tham gia hội thảo trên web với chúng tôi. 1st của tất cả, hãy để tôi giới thiệu đội. Tên tôi là Jeff Châu, giám đốc, chuyển đổi kỹ thuật số từ IUWorld.
Với tôi ở đây hôm nay là Snehal Contractor từ Stellar Cyber. Snehal là Phó Chủ tịch chịu trách nhiệm về Dịch vụ Kỹ thuật & Kỹ thuật Hệ thống Toàn cầu.
Chào mừng Snehal đã tham gia cùng chúng tôi IUWorld Loạt bài về lãnh đạo tư tưởng. Tiếp theo, tôi xin giới thiệu IUWorld.
Chúng tôi đã có 20 năm kinh doanh trong lĩnh vực CNTT-TT; bắt nguồn từ HK & Macau và cái mà chúng ta hiện gọi là Vùng Vịnh Lớn. Khách hàng của chúng tôi bao gồm từ các ngân hàng và tổ chức tài chính, Chính phủ và các tổ chức phi chính phủ cho đến các doanh nghiệp thương mại & khu nghỉ dưỡng trò chơi. Ngày nay, chúng tôi chuyên về các dịch vụ An ninh mạng, tập trung vào các cải tiến GRC.
Cách chúng tôi làm việc, thông qua những đổi mới công nghệ này, tạo ra các trường hợp kinh doanh tổ chức cho khả năng phục hồi kinh doanh. Tôi thích gọi nó “Dự án chuyển đổi”.
Hãy chuyển sang chủ đề hôm nay - phân tích hành vi thực thể người dùng (UEBA).
Nhận thức được tầm quan trọng ngày càng tăng của Công nghệ quy định (Regtech), một trong những khía cạnh quan trọng là xem xét hành vi của người dùng & tổ chức trong một tổ chức để quản lý rủi ro an toàn và tuân thủ quy định.
Hãy cùng xem định nghĩa của UEBA. Nó thực sự là về việc liệu một người có khả năng hiển thị người dùng / hệ thống của mình trong dữ liệu của họ, máy chủ mạng hay không.
Ý nghĩa của nó là cách một người có thể giám sát các giao tiếp từ hệ thống đến hệ thống và từ các tương tác của con người với các ứng dụng & khả năng xác định những người bên trong độc hại / những kẻ tấn công bên ngoài xâm nhập vào tổ chức của họ.
Đây là một trường hợp sử dụng của RegTech về phân tích các hoạt động - cách AI có thể giúp rút ra thông tin chi tiết từ những hành vi này (những gì được coi là bình thường hoặc bất thường có thể được xác định một cách kịp thời).
Nó thực sự là để minh bạch, nhất quán và tiêu chuẩn hóa cách tổ chức cung cấp giải thích hợp lý các quy định.
JEFF: Chào Snehal, hôm nay tôi muốn nghe ý kiến của bạn về phân tích hành vi người dùng thực thể – UEBA — và cách bạn nhìn nhận việc này sẽ làm thay đổi Quản trị, Rủi ro và Tuân thủ.
TUYỆT VỜI: Jeff, cảm ơn bạn đã tổ chức một buổi thảo luận khác với chúng tôi. Và tôi hoàn toàn đồng ý. UEBA Nó đang làm thay đổi an ninh mạng và trên thực tế, nó đang trở thành tâm điểm chú ý vì "bình thường mới" của chúng ta.
- Khách hàng và đối tác của chúng tôi cho biết hiện họ có nhiều người dùng từ xa mới — thay đổi tất cả các đường cơ sở của bạn và tạo các vectơ tấn công mới
- Và nhiều tổ chức thậm chí còn có nhiều đám mây hơn và cơ sở hạ tầng SaaS — có khả năng hạn chế khả năng hiển thị và mất kiểm soát
- Với những thách thức này, UEBA đảm bảo của bạn SOC Nhóm có thể nhanh chóng phát hiện các cuộc tấn công phức tạp hơn — Người dùng và Thực thể, xét cho cùng, đây là một cách tiếp cận chiến lược để tìm kiếm những kẻ tấn công phức tạp.
JEFF: Vậy bạn có đang nói điều đó không? UEBA là khá chiến lược với bình thường mới của chúng tôi?
TUYỆT VỜI: Đúng Jeff, và UEBA cần nhiều hơn SIEM Ngoài nhật ký hệ thống, bạn cần hiểu rõ lưu lượng mạng, hiểu biết về ứng dụng, hiểu biết về điện toán đám mây và SaaS. Bằng cách đối chiếu dữ liệu từ nhiều công cụ khác nhau, bạn có thể chủ động ghép nối các cuộc tấn công phức tạp trên toàn bộ cơ sở hạ tầng CNTT. SIEMChỉ riêng các công cụ này thiếu khả năng hiển thị toàn diện và buộc bạn phải sử dụng các chuyên gia phân tích bảo mật tài năng của mình để viết các truy vấn.
Chúng ta thấy AI - trí tuệ nhân tạo— như một yếu tố then chốt giúp cộng đồng các công ty rộng lớn hơn tận dụng được những tiến bộ công nghệ. SOC các giải pháp. Máy tính rất giỏi trong việc nhận diện các mẫu. Trí tuệ nhân tạo là một cách để giúp đỡ. SOC Các nhóm có thể mở rộng quy mô để tập trung vào công việc chiến lược.
JEFF: Tôi hiểu rồi, AI đang là chủ đề nóng ở Hồng Kông - Trước khi chúng ta tìm hiểu sâu hơn về UEBA, bạn có thể chia sẻ những thách thức chung mà khách hàng của bạn gặp phải trước khi bạn giúp họ không?
TUYỆT VỜI: Ngay cả khi có tất cả các công cụ phù hợp, rất nhiều khách hàng của chúng tôi đã chia sẻ thất bại hơn là thành công. Vấn đề là khả năng hiển thị - các tổ chức phải đối mặt với người dùng và thực thể hầu như ở khắp mọi nơi.
- Trong đám mây
- Trên cơ sở
- Ở nhà
- Truyền qua mạng vật lý
Bề mặt tấn công của bạn lớn hơn bao giờ hết - và - năng động
JEFF: Tôi thấy đây là lý do tại sao các công cụ siled sẽ không hữu ích, bạn cần phải xem xét mọi thứ và giữa các thứ nữa!
TUYỆT VỜI: Jeff chính xác, chúng tôi gọi đây là khả năng hiển thị toàn diện và có công nghệ cảm biến được cấp bằng sáng chế đảm bảo bạn nhìn thấy trên đám mây, thiết bị đầu cuối, mạng và người dùng — ở bất kỳ đâu !!
JEFF: Đối với thông thường mới, khả năng mở rộng và khả năng tương tác trên các môi trường không đồng nhất là điều cần thiết.
JEFF: bạn có thể cho khán giả của chúng tôi thấy ý tưởng về khả năng hiển thị toàn diện này không — làm cách nào để bạn theo dõi hành vi của người dùng hoặc tổ chức?
TUYỆT VỜI: Jeff, hãy để tôi mở GUI và thu hút sự chú ý của bạn vào nút THU này. Như bạn có thể thấy ở bên trái, chúng tôi nhập rất nhiều nguồn dữ liệu. Ở bên phải, bạn cũng thấy các trình kết nối giúp chúng tôi thu thập dữ liệu người dùng và thực thể từ AWS, Microsoft365, Google Cloud và cả email, Syslog, mạng. Từ những dữ liệu này, chúng tôi đang trích xuất thông tin người dùng và thực thể. Bây giờ, hãy để tôi đi sâu vào một sự kiện. Tại đây, tôi có thể cho bạn thấy sức mạnh của các bản ghi Interflow của chúng tôi, ghi lại mọi thứ về từng sự cố của hành vi người dùng và tổ chức.
Chúng tôi thực hiện Kiểm tra gói tin sâu - DPI - trên tất cả dữ liệu được nhập vào và điều đó giúp chúng tôi thấy rõ hơn nữa bề mặt tấn công của bạn
Chúng ta có thể thấy các cuộc tấn công đường hầm DNS. Chúng tôi có thể cho bạn biết những ứng dụng nào đang bị chiếm quyền điều khiển. Chúng tôi kết hợp tất cả dữ liệu này với thông tin về mối đe dọa của bên thứ 3 như định vị địa lý để đảm bảo bạn có một bức tranh toàn cảnh để phân tích bảo mật.
JEFF: Snehal, thật ấn tượng, tôi cũng thấy nó có thể đọc được và do đó tôi chắc chắn rằng bạn có thể tìm kiếm thông tin này
TUYỆT VỜI: Jeff chính xác, chúng tôi có một hồ dữ liệu duy nhất, nơi tất cả dữ liệu meta này được lưu trữ và chúng tôi thực hiện phân tích dữ liệu lớn trên đó để giúp bạn thấy xu hướng - khi hành vi của người dùng hoặc tổ chức thay đổi, AI của chúng tôi đánh dấu đây là một phát hiện bất thường quan trọng.
JEFF: Snehal bây giờ chúng ta có thể đi sâu hơn về hành vi của người dùng, tôi nghĩ bạn có một số thông tin chi tiết thú vị ở đó.
TUYỆT VỜI: Cảm ơn Jeff, chúng tôi làm. Các tin tặc ngày nay không tấn công bạn theo những cách truyền thống — đây là chìa khóa — cách tiếp cận chu vi hoặc cách tiếp cận ghi nhật ký không còn đảm bảo an toàn cho bạn nữa. Giờ đây, họ có quyền truy cập vào các tài sản có cấu hình thấp và bắt đầu thu thập thông tin tình báo về các hệ thống quan trọng hơn thông qua chuyển động ngang, sau đó họ tìm kiếm thông tin có giá trị hơn.
JEFF: Bạn có thể giải thích ví dụ trên slide không?
SỨC KHỎE: Chắc chắn, giả sử bạn đã gắn thẻ Giám đốc điều hành của mình là một người quan trọng, và bạn chỉ cần thấy rằng họ đăng nhập ở Tokyo và sau đó ở Sydney Australia hai giờ sau đó. Đó rõ ràng là một sự kiện du lịch không thể xảy ra, nhưng thông tin đăng nhập của anh ấy vẫn hợp lệ. Sau đó, bạn thấy anh ta sử dụng các lệnh để truy cập một ứng dụng, chẳng hạn như SSL để truy cập dữ liệu trên máy chủ SQL.
JEFF: Tại sao CEO lại sử dụng SSL và tại sao ông ấy lại tìm kiếm dữ liệu SQL? Có điều gì đó rất đáng ngờ và khác với hành vi bình thường của anh ta, nhưng cả ba hành động vẫn hợp lệ dựa trên mọi thứ chúng ta có thể thiết lập từ các công cụ và dữ liệu hiện có — phải không?
SỨC KHỎE: Chính xác Jeff, tóm lại là... UEBA Điều thực sự cần là một cách để kết hợp tất cả các công cụ và nguồn cấp dữ liệu của bạn lại với nhau, và xử lý chúng bằng trí tuệ nhân tạo để giúp tìm ra các mẫu, và được thiết kế chuyên dụng để tìm ra dữ liệu PHÙ HỢP. Chúng tôi gọi đây là... Mở--XDR – Phát hiện và phản hồi mở rộng Với khả năng tích hợp với bất kỳ hệ thống, công cụ hoặc nguồn dữ liệu nào. Giống như cách chúng ta đã tăng cường sức mạnh cho tường lửa bằng cách... SIEMVì vậy, đã đến lúc chúng ta cần xem xét lại cách xây dựng một SOC. Một tập hợp các công cụ - hoặc - một nền tảng thông minh là chìa khóa.
JEFF: Vì vậy, cách tôi nghe điều này là về hành vi của người dùng với khả năng hiển thị rộng, đó có vẻ là một cách tuyệt vời để phát hiện ra một vụ hack?
TUYỆT VỜI: Đúng vậy Jeff.
JEFF: Cảm ơn Snehal, chúng ta có thể tìm hiểu sâu hơn về Stellar Cyber được không? Open XDR Nền tảng? Cụ thể, hãy cho chúng tôi biết cách bạn có thể xác định một tài sản quan trọng và xem liệu nó có bị nhiễm virus hay không?
TUYỆT VỜI: Vâng Jeff, trước tiên, tôi vừa phát hiện một máy chủ bị nhiễm virus, nó đã bị tấn công. Máy chủ của chúng ta UEBA Khả năng này đã giúp xác định được sự lây nhiễm. Tôi sẽ chặn thiết bị gửi lưu lượng truy cập. Tôi đã sử dụng thư viện Săn lùng mối đe dọa của chúng tôi để kích hoạt phản hồi, để đóng cổng. Bây giờ, hãy hoàn thành trường hợp sử dụng này với bước cuối cùng, bằng cách xem liệu máy chủ hiện có đang lây nhiễm sang các thiết bị khác hay không, như chúng ta đã thảo luận lúc đầu, đây là một cách phổ biến mà tin tặc lây nhiễm sang các thiết bị khác trong môi trường của bạn bằng cách di chuyển ngang. Như bạn thấy, nhiều thiết bị khác hiện cần được chú ý.
JEFF: Cảm ơn Snehal, tôi tin rằng tôi có thể thấy bạn thực sự đã làm rất nhiều điều đó thật đơn giản và thực sự chỉ mất vài phút.
JEFF: Chủ đề cuối cùng tôi muốn đề cập là Tuân thủ. Rất nhiều khách hàng của chúng tôi cần thông qua các sáng kiến tuân thủ và quản trị hàng năm hoặc thậm chí thường xuyên hơn. Nền tảng của bạn hỗ trợ báo cáo như thế nào?
TUYỆT VỜI: Điểm tuyệt vời Jeff chúng tôi đã đưa rất nhiều khả năng vào công cụ báo cáo của mình như bạn có thể thấy ở đây. Chúng tôi có nhiều mẫu được tạo sẵn, ví dụ: tuân thủ PCI, tuân thủ CIS và tuân thủ HIPAA
JEFF: Bạn có thể dễ dàng xây dựng báo cáo khách hàng không?
TUYỆT VỜI: Chắc chắn rồi, Jeff, chúng tôi có thể xây dựng báo cáo khách hàng từ bất kỳ bảng điều khiển nào mà chúng tôi có trong nền tảng, ở đây bạn có thể thấy tôi có tất cả các lỗi đăng nhập của người dùng từ Thư viện săn tìm mối đe dọa. Tôi có thể rất dễ dàng chỉnh sửa trang tổng quan và tạo báo cáo khách hàng từ nó
JEFF: Snehal, tôi nghĩ chúng ta cần kết thúc chuyện này, bạn có thể tóm tắt cuộc thảo luận của chúng ta ngày hôm nay được không?
TUYỆT VỜI: Vâng Jeff, tôi nghĩ điều quan trọng nhất tôi có thể nói là khả năng hiển thị là chìa khóa thành công trong bảo mật. Bạn không thể quản lý những gì bạn không thể nhìn thấy – và điều đó có nghĩa là trên toàn bộ bề mặt tấn công của bạn – đám mây, thiết bị đầu cuối, mạng và người dùng – và như cả hai chúng ta đã nhấn mạnh hôm nay, hành vi của người dùng và thực thể là chiến lược để đảm bảo bạn có thể phát hiện các cuộc tấn công phức tạp. Lợi thế của Stellar Cyber là chúng tôi có thể mang lại những hiểu biết mới cho các công cụ và dữ liệu đo từ xa mà bạn đã tin tưởng, nó được xây dựng trên nền tảng đám mây và dựa trên API mở. Đối với quản trị an ninh mạng, rủi ro và tuân thủ — UEBA Đảm bảo bạn bịt kín những điểm mù mà chỉ nhật ký hệ thống sẽ bỏ sót.
JEFF: Cảm ơn Snehal, tôi nghĩ phiên này đã giúp khách hàng thấy họ có thể dễ dàng theo dõi các tài sản và người dùng quan trọng trên đám mây, thiết bị đầu cuối và mạng - giúp đơn giản hóa việc quản trị, báo cáo rủi ro và tuân thủ - .. cho đến thời gian tiếp theo
Để kết luận, để chuyển đổi An ninh mạng thành một nền tảng tập trung và thông minh có khả năng vượt qua các điểm mù cơ bản, bí mật, khen ngợi và tích hợp tất cả các công cụ có sẵn và lọc, chuẩn hóa và tương quan các sự kiện & sự cố thành các cảnh báo quan trọng cho các hành động phát hiện và ứng phó.
Đó là cuộc hành trình liên tục!
Cám ơn rất nhiều.
