Exabeam مراجعة وتقييم

تحدث جميع انتهاكات البيانات الكبيرة التي تؤثر على المؤسسات الحكومية والخاصة تقريبًا عندما يسرق شخص ما بيانات اعتماد الأمان لأحد المستخدمين المصرح لهم ثم يستخدم بيانات الاعتماد هذه لسرقة البيانات. في الانتهاكات الأخيرة التي تم الترويج لها بشكل كبير مثل Target و Sony ومكتب إدارة شؤون الموظفين ، شهدت أنظمة اكتشاف التسلل (IDS) المثبتة في هذه المؤسسات حدوث الهجوم ، لكن للأسف لم يلاحظ أحد ذلك. تم تصميم Exabeam User Behavior Intelligence Platform (الذي يبدأ بـ 25،000 دولار) لجمع المعلومات من مجموعة متنوعة من المصادر المتنوعة ، بما في ذلك Active Directory (AD) وبرامج وأجهزة إدارة معلومات الأمان (SIEM) الخاصة بك والإبلاغ عن السلوك المشبوه في موضه عصريه.

يعمل Exabeam ، الذي يمكن تسليمه إما كجهاز فعلي أو افتراضي ، عن طريق فحص سجل أحداث مؤسستك لتحديد ما هو طبيعي ثم فحص الأحداث التي تنحرف عن المعتاد. يحتوي Exabeam أيضًا على تكلفة اشتراك تختلف وفقًا لعدد المستخدمين والأجهزة الخاضعة للمراقبة. إذا كانت هذه الوظيفة متخصصة ، فذلك لأنه كذلك. يعد Exabeam برنامجًا رائعًا ، لكن يجب أن يكون مكونًا واحدًا فقط من مربع أداة أمان الشبكة المجهزة تجهيزًا جيدًا إلى جانب الأدوات الأخرى مثل GFI LanGuard و Viewfinity.

الحصول على اقامة

بالنسبة لهذا الاستعراض ، اختبرت الإصدار Exabeam v1.7 مقابل بيانات الشركات الحقيقية ولكن المجهولة الهوية في بيئة سحابية. قد يكون استخدام بيانات الموظف الحقيقي أكثر واقعية ، لكن ربما ينتهك عددًا من القوانين الفيدرالية. وبالمثل ، يتم تشغيل Exabeam عادةً على جهاز في مركز بيانات الشركة ، ولكن في هذه الحالة ، تملي التطبيق العملي طريقة مختلفة.

بمجرد بدء التشغيل ، كان Exabeam قادرًا على إجراء تحليل سريع. تعتمد السرعة التي ستعمل بها على عدد من المتغيرات ، بما في ذلك حجم مؤسستك وعدد أصولها ، لكن Exabeam قال إن الوقت المعتاد للتحليل الأول هو يومين أو ثلاثة أيام. ومع ذلك ، يمكن لبرنامج Exabeam البدء في عرض النتائج فورًا تقريبًا في حالة ظهور أحداث مشبوهة.

على الرغم من أنه يتعلم ما هو طبيعي في مؤسستك ، إلا أن Exabeam قادر على العثور على أحداث غير طبيعية بشكل واضح. على سبيل المثال ، إذا اكتشف البرنامج موظفًا من قسم المبيعات يقوم بتسجيل الدخول إلى بيانات القسم الهندسي من خلال عشرات الجلسات المتزامنة ، فهذا مؤشر جيد على أن هناك حاجة إلى إجراء تحقيق.

في الواقع ، يمكن لـ Exabeam استنشاق بعض الأحداث الدقيقة التي قد يفوتها فحص تم إجراؤه بواسطة طريقة أخرى. دعنا نقول ، على سبيل المثال ، الموظف الذي لا يسافر أبدًا لتسجيل الدخول إلى شبكة الشركة من موقع معروف بوجود عدد كبير من المتسللين (مثل روسيا أو أوكرانيا) ويقوم بذلك من جهاز كمبيوتر لم يسبق له استخدامه من قبل. إذا بدأ الموظف بعد ذلك في تنزيل كمية كبيرة من البيانات ، فسيقوم Exabeam بوضع علامة على الجلسة على الفور تقريبًا.

لكن ليس من الضروري أن يكون ذلك واضحًا. ربما يلاحظ Exabeam موظفًا حقيقيًا يقوم بتسجيل الدخول من جهاز الكمبيوتر المحمول الخاص بالشركة ولكن في وقت غير عادي من اليوم أو ربما أثناء إجازته. ثم يسجل ذلك الموظف الذي يصل إلى الملفات في منطقة لا يعملون فيها. قد لا يشير Exabeam إلى أنه أحد المتطفلين ، ولكنه سيلاحظ النشاط غير العادي ويسجله وفقًا لذلك.

يعمل Exabeam عن طريق تسجيل جميع أنشطة المستخدم من خلال ما تسميه الشركة تتبع مستخدم فعال ، ثم يجمع النقاط مع مرور الوقت. ثم يقدم البرنامج قائمة بكل حدث مع شرح والنتيجة. تتضمن الصفحة مع البيانات روابط مرجعية. في أحد الأمثلة لجلسة مشبوهة ، عثر Exabeam على شخص يستخدم شبكة افتراضية خاصة (VPN) لتسجيل الدخول من أوكرانيا ، باستخدام كمبيوتر لأول مرة ، مع مزود خدمة إنترنت غير معروف (ISP) ويستخدم IP مجهول سابقًا عنوان. ثم فحص Exabeam الخصائص مثل رفع الامتياز والوصول إلى مناطق الشبكة الجديدة. مع كل هذا الإدخال الإضافي من أجهزة الأمن الأخرى ، طور Exabeam درجة عالية ونبه فريق الأمن.

تتعلم Exabeam أيضًا سلوك المستخدم بمرور الوقت ، وتحدد الموظفين وغيرهم ممن يسافرون بشكل متكرر ، وتتعلم الموارد التي يصلون إليها ومتى. تقوم بتتبع أنواع الأصول (مثل الكمبيوتر المحمول أو أجهزة كمبيوتر سطح المكتب) التي يستخدمها الشخص ويمكنها الإشارة إلى الأحداث عند عدم استخدام هذه الأجهزة.

ربما بنفس القدر من الأهمية ، يمكن لـ Exabeam وضع علامة على أجهزة كمبيوتر محددة يبدو أن لديها عددًا كبيرًا جدًا من أحداث الأمان ، وربما تشير إلى أنها تستخدم كمسار عبر باب خلفي تم إنشاؤه مسبقًا بواسطة بعض البرامج الضارة.

نظرًا لأن Exabeam يراقب سلوك المستخدم ، يمكنه أيضًا العثور على موظفي الظل. هؤلاء هم موظفون مزيفون أنشأهم المتسللون ، ربما قبل أشهر ، كوسيلة لإتاحة الوصول إلى شبكتك لفترة طويلة من الزمن. ولكن نظرًا لأن هؤلاء الموظفين ليس لديهم نشاط عمل عادي ويظهرون بدلاً من ذلك على الشبكة خلال ساعات غير عادية أو يقومون بأنشطة غير عادية ، فسيتم تمييزهم حتى يتم تأكيد وجودهم.

ما الذي يجعل Exabeam مفيدة جدا

يُعد Exabeam مفيدًا للغاية لأنه قادر على ربط الأحداث والأنشطة ثم عرضها بعد ذلك بحيث يكون من الواضح لمديري الأمن ما يجري ولماذا تم وضع علامة على الشخص أو الأصل. نظرًا لأن كل البيانات متوفرة في الخلفية ، يمكنك البحث لأسفل لترى ما كان يقوم به شخص معين والذي تسبب في وضع علامة عليه ، ويمكنك متابعة أنشطته مع مرور الوقت أو من خلال المؤسسة.

نظرًا لأن Exabeam يتابع الأحداث والأشخاص عبر الوقت ، فإنه يجعل من الممكن أن نرى بالضبط وقت وقوع حدث مشبوه وما حدث في تلك اللحظة وما تلاه من أحداث. يمكنك مشاهدة حدث أمان يتكشف عندما يخترق المتسلل دفاعاتك ، ويشاهد كيف غيروا أسماء المستخدمين والامتيازات المرتفعة والبيانات التي تم الوصول إليها. يمكنك أيضًا رؤية البيانات التي وصلوا إليها بالضبط.

يتطلب تطبيق Exabeam إما أن تقوم بتوصيل الجهاز بشبكتك أو تثبيته في جهاز VMware ظاهري (VM) حيث يمكنه مراقبة إعلانك و SIEM. ستحتاج إلى توفير المعلومات الأساسية للوصول إلى تلك الأجهزة ثم تشغيلها. هذا كل ما في الأمر ، ولكنه سيؤدي إلى توزيع أرباح لقضاء بعض الوقت في تعلم كيفية الاستفادة المثلى من البيانات التي يعثر عليها ويعرضها.

بمجرد تشغيله ، يتطلب Exabeam القليل من التدريب للاستخدام. نظرًا لصعوبة العثور على موظفين أمن مدربين لتكنولوجيا المعلومات ، قد تقوم شركة Exabeam بدفع ثمنها في الحفاظ على تكاليف الموظفين تحت السيطرة. في أي حال ، فإنه يؤدي بسرعة مستويات التحليل التي قد تستغرق سنوات من المعرفة الحميمة للمنظمة وموظفيها للتعلم. وبالنظر إلى تدفق البيانات التي تنتجها معظم منتجات SIEM ، يمكنها مشاهدة الأحداث التي يتعذر العثور عليها بأي طريقة أخرى. إحدى طرق التفكير في هذا الأمر هي أنه إذا كان Target قد استخدم Exabeam ، فلربما لم يحدث الاختراق أبدًا ، أو لو حدث ذلك ، فإنه سينتهي على الفور.