차례:
비디오: SHINee(샤ì�´ë‹ˆ)_Hello_뮤ì§�비ë""오(MusicVideo) (십월 2024)
정부 및 민간 기업에 영향을 미치는 거의 모든 데이터 유출은 권한이있는 사용자의 보안 자격 증명을 훔친 다음 해당 자격 증명을 사용하여 데이터를 훔칠 때 발생합니다. Target, Sony 및 Office of Personnel Management와 같은 널리 알려진 최근의 보안 침해에서 이러한 기업에 설치된 침입 탐지 시스템 (IDS)은 공격이 발생했지만 불행히도 아무도 눈치 채지 못했습니다. Exabeam User Behavior Intelligence Platform (25, 000 달러부터 시작)은 AD (Active Directory) 및 SIEM (Security Information and Event Management) 소프트웨어 및 어플라이언스를 비롯한 다양한 소스에서 정보를 수집하고 의심스러운 동작을 유행 패션.
물리적 또는 가상 어플라이언스로 제공 될 수있는 Exabeam은 조직의 이벤트 기록을 검사하여 정상 상태를 확인한 다음 정상에서 벗어난 이벤트를 검사합니다. Exabeam에는 모니터링되는 사용자 및 장치 수에 따라 구독 비용이 다릅니다. 이 기능이 특수하게 들린다면 그 이유 때문입니다. Exabeam은 훌륭한 소프트웨어이지만 GFI LanGuard 및 Viewfinity와 같은 다른 도구와 함께 잘 갖추어 진 네트워크 보안 도구 상자의 구성 요소 중 하나 일뿐입니다.
설정하기
이 검토를 위해 클라우드 환경에서 익명이지만 실제로 익명화 된 회사 데이터에 대해 Exabeam v1.7을 테스트했습니다. 실제 직원 데이터를 사용하는 것이 더 현실적 이었지만 여러 연방법을 위반했을 것입니다. 마찬가지로 Exabeam은 일반적으로 회사 데이터 센터의 어플라이언스에서 실행되지만이 경우 실용성은 다른 접근 방식을 나타냅니다.
실행을 시작하면 Exabeam이 신속하게 분석을 수행 할 수있었습니다. 정확히 얼마나 빨리 작동하는지는 조직의 규모와 자산 수를 포함한 여러 변수에 달려 있지만 Exabeam은 첫 번째 분석에 보통 2 ~ 3 일이 걸린다고 말했습니다. 그러나 의심스러운 이벤트가 표시되면 Exabeam 소프트웨어가 거의 즉시 결과를 반환 할 수 있습니다.
Exabeam은 기업의 정상적인 상황을 학습하는 동안에도 분명히 정상적이지 않은 이벤트를 찾을 수 있습니다. 예를 들어, 소프트웨어가 영업 부서에서 수십 개의 동시 세션으로 엔지니어링 부서의 데이터에 로그인하는 직원을 감지하면 무언가 조사가 필요하다는 것을 나타내는 좋은 증거입니다.
실제로 Exabeam은 다른 방법으로 수행 한 검사에서 놓칠 수있는 미묘한 이벤트를 탐지 할 수 있습니다. 예를 들어 러시아 나 우크라이나와 같이 많은 해커 집단으로 알려진 위치에서 회사 네트워크에 로그인하지 않고 이전에는 사용하지 않은 컴퓨터에서 회사 네트워크에 로그인하지 않는 직원을 예로 들어 보겠습니다. 직원이 대량의 데이터 다운로드를 시작하면 Exabeam은 거의 즉시 세션에 플래그를 지정합니다.
그러나 그렇게 분명 할 필요는 없습니다. 아마도 Exabeam은 실제 직원이 회사 랩톱에서 로그인하지만 비정상적인 시간이나 휴가 중일 때를 알 수 있습니다. 그런 다음 직원이 작동하지 않는 영역의 파일에 액세스하는 것을 기록합니다. Exabeam은 특정 해커로 플래그를 지정할 수 없지만 비정상적인 활동을 발견하고 그에 따라 점수를 매 깁니다.
Exabeam은 회사가 Stateful User Tracking이라고하는 것을 통해 모든 사용자 활동의 점수를 매기고 시간이 지남에 따라 점수를 누적합니다. 그런 다음 소프트웨어는 각 이벤트 목록에 설명과 점수를 표시합니다. 데이터가있는 페이지에는 참조 링크가 포함되어 있습니다. 의심스러운 세션의 한 예에서 Exabeam은 VPN (가상 사설망)을 사용하여 컴퓨터에서 처음으로 알 수없는 인터넷 서비스 공급자 (ISP)를 사용하고 이전에 알 수없는 IP를 사용하여 우크라이나에서 로그인하는 사람을 발견했습니다. 주소. 그런 다음 Exabeam은 권한 상승 및 새 네트워크 영역에 대한 액세스와 같은 특성을 조사했습니다. Exabeam은 다른 보안 장치의 입력과 함께 높은 점수를 받고 보안 팀에 경고했습니다.
또한 Exabeam은 시간이 지남에 따라 사용자의 행동을 배우고, 직원과 자주 여행하는 사람들을 식별하고, 언제 어떤 리소스에 액세스 하는지를 배웁니다. 개인이 사용하는 자산 유형 (예: 랩톱 또는 데스크탑 컴퓨터)을 추적하고 해당 컴퓨터를 사용하지 않을 때 이벤트에 플래그를 지정할 수 있습니다.
Exabeam도 마찬가지로 중요한 보안 이벤트가있는 것으로 보이는 특정 컴퓨터에 플래그를 지정할 수 있습니다. 이는 아마도 일부 맬웨어에 의해 이전에 생성 된 백도어를 통한 경로로 사용되고 있음을 나타냅니다.
Exabeam은 사용자 행동을 모니터링하기 때문에 섀도우 직원을 찾을 수도 있습니다. 이들은 해커가 수개월 전에 네트워크에 오랫동안 액세스 할 수 있도록 만든 가짜 직원입니다. 그러나 해당 직원은 정상적인 업무 활동을하지 않고 비정상적인 시간 또는 비정상적인 활동을 수행하는 동안 네트워크에 표시되므로 직원의 존재를 확인할 수 있도록 플래그가 지정됩니다.
Exabeam의 유용한 기능
Exabeam은 이벤트와 활동을 서로 연관시킨 다음이를 표시하여 보안 관리자에게 진행 상황과 개인 또는 자산이 플래그 된 이유를 명확하게 표시 할 수 있으므로 매우 유용합니다. 모든 데이터가 백그라운드에서 사용 가능하기 때문에 특정 사람이 수행 한 작업을보고이를 표시하여 시간이 지남에 따라 또는 엔터프라이즈를 통해 해당 활동을 수행 할 수 있습니다.
Exabeam은 시간이 지남에 따라 이벤트와 사람들을 따르기 때문에 의심스러운 이벤트가 발생한시기, 그 당시 발생한 일 및 발생한 이벤트를 정확하게 볼 수 있습니다. 해커가 귀하의 방어를 침투 할 때 보안 이벤트가 전개되는 것을보고 이들이 사용자 이름, 높은 권한 및 액세스 된 데이터를 어떻게 변경했는지 확인할 수 있습니다. 액세스 한 데이터를 정확하게 볼 수도 있습니다.
Exabeam을 구현하려면 어플라이언스를 네트워크에 연결하거나 AD 및 SIEM을 모니터링 할 수있는 VMware 가상 머신 (VM)에 설치해야합니다. 해당 장치에 액세스하기위한 기본 정보를 제공 한 후 실행해야합니다. 그게 전부입니다.하지만 발견하고 제시하는 데이터를 최대한 활용하는 방법을 배우는 데 시간을 할애하여 배당금을 지불합니다.
일단 가동되면 Exabeam은 약간의 교육 만 필요합니다. 숙련 된 IT 보안 직원을 찾는 데 어려움을 고려하여 Exabeam은 직원 비용을 관리하는 데 비용을 지불 할 수 있습니다. 어쨌든, 조직과 직원에 대해 수년간의 친숙한 지식이 필요한 분석 수준을 신속하게 수행합니다. 또한 대부분의 SIEM 제품에서 생성 된 데이터의 홍수를 고려하면 다른 방법으로는 찾기 어려운 이벤트를 볼 수 있습니다. 이를 생각하는 한 가지 방법은 Target이 Exabeam을 사용하고 있었다면 위반이 발생하지 않았거나 발생했을 경우 즉시 종료되었을 것입니다.
