Daftar Isi:
Video: 2021 Cybersecurity Trends (November 2024)
Hampir semua pelanggaran data terbesar yang memengaruhi perusahaan pemerintah dan swasta terjadi ketika seseorang mencuri kredensial keamanan pengguna yang sah dan kemudian menggunakan kredensial tersebut untuk mencuri data. Dalam pelanggaran baru-baru ini banyak dipublikasikan seperti Target, Sony, dan Kantor Manajemen Personalia, sistem deteksi intrusi (IDS) dipasang di perusahaan-perusahaan ini melihat serangan itu terjadi tetapi, sayangnya, tidak ada yang memperhatikan. Platform Intelijen Perilaku Pengguna Exabeam (yang dimulai dari $ 25.000) dirancang untuk mengumpulkan informasi dari beragam sumber, termasuk Active Directory (AD) dan perangkat lunak dan peralatan Manajemen Informasi dan Manajemen Kejadian (SIEM) Anda, dan melaporkan perilaku mencurigakan dalam suatu mode tepat waktu.
Exabeam, yang dapat dikirim sebagai alat fisik atau virtual, bekerja dengan memeriksa riwayat acara organisasi Anda untuk menentukan apa yang normal dan kemudian memeriksa peristiwa yang menyimpang dari normal. Exabeam juga memiliki biaya berlangganan yang bervariasi sesuai dengan jumlah pengguna dan perangkat yang dipantau. Jika fungsi ini terdengar khusus, itu karena itu. Exabeam adalah perangkat lunak yang hebat, tetapi seharusnya hanya menjadi salah satu komponen dari kotak alat keamanan jaringan yang lengkap bersama dengan alat-alat lain seperti GFI LanGuard dan Viewfinity.
Persiapan
Untuk ulasan ini, saya menguji Exabeam v1.7 terhadap data perusahaan yang nyata tetapi dianonimkan di lingkungan cloud. Menggunakan data karyawan nyata akan lebih realistis tetapi mungkin akan melanggar sejumlah undang-undang federal. Demikian juga, Exabeam biasanya dijalankan dengan alat di pusat data perusahaan tetapi, dalam hal ini, kepraktisan mendikte pendekatan yang berbeda.
Begitu saya mulai menjalankan, Exabeam dapat dengan cepat melakukan analisis. Seberapa cepat itu akan bekerja tergantung pada sejumlah variabel, termasuk ukuran organisasi Anda dan jumlah asetnya, tetapi Exabeam mengatakan bahwa waktu yang biasa untuk analisis pertama adalah dua atau tiga hari. Namun, perangkat lunak Exabeam dapat mulai mengembalikan hasil dengan segera jika peristiwa yang mencurigakan muncul.
Meskipun mempelajari apa yang normal di perusahaan Anda, Exabeam dapat menemukan peristiwa yang jelas-jelas tidak normal. Misalnya, jika perangkat lunak mendeteksi seorang karyawan dari departemen penjualan masuk ke data departemen teknik dengan beberapa lusin sesi simultan, itu indikasi yang baik bahwa sesuatu perlu diselidiki.
Bahkan, Exabeam dapat mengendus beberapa peristiwa halus yang mungkin terlewatkan dengan pemeriksaan yang dilakukan dengan beberapa metode lain. Katakanlah, misalnya, seorang karyawan yang tidak pernah melakukan perjalanan masuk ke jaringan perusahaan dari lokasi yang terkenal dengan jumlah peretas yang tinggi (seperti Rusia atau Ukraina) dan melakukannya dari komputer yang belum pernah mereka gunakan sebelumnya. Jika karyawan kemudian mulai mengunduh sejumlah besar data, Exabeam akan menandai sesi tersebut hampir secara instan.
Tapi itu tidak perlu sejelas itu. Mungkin Exabeam memperhatikan seorang karyawan asli yang masuk dari laptop perusahaan mereka tetapi pada waktu yang tidak biasa atau mungkin saat mereka sedang berlibur. Ini kemudian mencatat bahwa karyawan mengakses file di area di mana mereka tidak bekerja. Exabeam tidak boleh menandainya sebagai peretas tertentu tetapi ia akan melihat aktivitas yang tidak biasa itu dan memberinya skor.
Exabeam bekerja dengan mencetak semua aktivitas pengguna melalui apa yang perusahaan sebut Pelacakan Pengguna Stateful dan kemudian mengumpulkan skor dari waktu ke waktu. Perangkat lunak kemudian menyajikan daftar setiap acara dengan penjelasan dan skor. Halaman dengan data termasuk tautan referensi. Dalam satu contoh sesi yang mencurigakan, Exabeam menemukan seseorang menggunakan jaringan pribadi virtual (VPN) untuk masuk dari Ukraina, menggunakan komputer untuk pertama kalinya, dengan Penyedia Layanan Internet (ISP) yang tidak dikenal dan menggunakan IP yang sebelumnya tidak dikenal. alamat. Kemudian Exabeam memeriksa karakteristik seperti elevasi hak istimewa dan akses ke zona jaringan baru. Dengan semua masukan plus itu dari perangkat keamanan lain, Exabeam mengembangkan skor yang lebih tinggi dan memperingatkan tim keamanan.
Exabeam juga mempelajari perilaku pengguna dari waktu ke waktu, mengidentifikasi karyawan dan orang lain yang sering bepergian, dan mempelajari sumber daya apa yang mereka akses dan kapan. Ini melacak jenis aset apa (seperti laptop atau komputer desktop) yang digunakan seseorang dan dapat menandai acara saat mereka tidak menggunakan komputer tersebut.
Mungkin sama pentingnya, Exabeam dapat menandai komputer tertentu yang tampaknya memiliki jumlah peristiwa keamanan yang luar biasa tinggi, mungkin menunjukkan bahwa mereka sedang digunakan sebagai jalur melalui pintu belakang yang dibuat sebelumnya oleh beberapa malware.
Karena Exabeam memonitor perilaku pengguna, ia juga dapat menemukan karyawan bayangan. Ini adalah karyawan palsu yang dibuat oleh peretas mungkin berbulan-bulan sebelumnya sebagai cara untuk memberikan akses ke jaringan Anda untuk jangka waktu yang lama. Tetapi, karena karyawan tersebut tidak memiliki aktivitas kerja normal dan malah muncul di jaringan selama jam-jam yang tidak biasa atau melakukan aktivitas yang tidak biasa, mereka akan ditandai sehingga keberadaan mereka dapat dikonfirmasi.
Apa yang Membuat Exabeam Sangat Berguna
Exabeam sangat berguna karena mampu menghubungkan peristiwa dan kegiatan dan kemudian menampilkannya sehingga jelas bagi manajer keamanan apa yang terjadi, dan mengapa orang atau aset ditandai. Karena semua data tersedia di latar belakang, Anda dapat menelusuri untuk melihat apa yang dilakukan orang tertentu yang menyebabkan mereka ditandai, dan Anda dapat mengikuti aktivitas mereka dari waktu ke waktu atau melalui perusahaan.
Karena Exabeam mengikuti peristiwa dan orang melalui waktu, itu memungkinkan untuk melihat secara tepat kapan suatu peristiwa mencurigakan terjadi, apa yang terjadi pada saat itu, dan peristiwa apa yang terjadi selanjutnya. Anda dapat menonton acara keamanan terbuka saat peretas menembus pertahanan Anda, dan menyaksikan bagaimana mereka mengubah nama pengguna, hak istimewa yang ditingkatkan, dan mengakses data. Anda juga dapat melihat data apa yang mereka akses.
Menerapkan Exabeam mengharuskan Anda untuk memasang alat ke jaringan atau menginstal di mesin virtual VMware (VM) di mana ia dapat memantau AD dan SIEM Anda. Anda perlu memberikan informasi dasar untuk akses ke perangkat-perangkat itu dan kemudian menjalankannya. Itu semua yang ada untuk itu tetapi akan membayar dividen untuk meluangkan waktu belajar bagaimana memanfaatkan data yang ditemukan dan disajikan.
Setelah aktif dan berjalan, Exabeam membutuhkan sedikit pelatihan untuk digunakan. Mempertimbangkan kesulitan dalam menemukan staf keamanan TI terlatih, Exabeam dapat membayar sendiri untuk menjaga agar biaya staf tetap terkendali. Dalam kasus apa pun, ia dengan cepat melakukan level analisis yang akan membutuhkan bertahun-tahun pengetahuan yang mendalam tentang organisasi dan stafnya untuk belajar. Dan, mengingat banyaknya data yang dihasilkan oleh sebagian besar produk SIEM, ia dapat melihat peristiwa yang tidak mungkin ditemukan dengan cara lain. Salah satu cara untuk berpikir tentang ini adalah, jika Target telah menggunakan Exabeam, pelanggaran mungkin tidak pernah terjadi atau, jika itu terjadi, itu akan segera berakhir.
