Безпека наступного покоління: розкриття оновлених функціональних можливостей Exabeam

Експерт зазначив, що рішення Exabeam активно використовуються не лише за кордоном, а й у нашій країні. Примітно, що виробник вийшов з ними на ринок у 2017 році та відразу ж потрапив у магічний квадрант Gartner, та всі наступні роки ці рішення залишалися серед лідерів у сегменті SIEM-систем.

Доповідач нагадав про стадії розвитку цього напряму. На його старті на початку 2000-х років SIEM-системи першого покоління займалися збиранням даних та визначали для них кореляцію. У другому поколінні з'явилася функціональність пошуку, у третьому поколінні, коли на ринок вийшов продукт Exabeam, було реалізовано поведінковий аналіз та автоматизацію. Нині спостерігаються проблеми з експлуатацією SIEM-систем попередніх поколінь, пов'язані з лавиноподібним зростанням обсягів інформації в логах з численних пристроїв, оскільки з 2015 року значно зросла активність зловмисників, які використовують атаки на основі облікових даних. І це призводить до генерації великої кількості повідомлень, на які необхідно реагувати. У зв'язку з цим потрібний більший штат висококваліфікованого персоналу для розслідування можливих інцидентів. Крім того, збільшення обсягу даних призвело до зростання витрат на їхнє зберігання.

 

Для вирішення пов'язаних із цими проблемами завдань на ринок виходять SIEM-системи четвертого покоління, серед яких і платформа Exabeam. Функціональність останньої включає управління журналами безпеки в хмарі, покращений поведінковий аналіз та автоматизацію процесу розслідування. Перенесення до хмар дозволяє практично необмежено масштабувати рішення завдяки відкритій архітектурі з можливістю зберігання петабайтних обсягів даних. Крім того, хмарне середовище забезпечує швидкий модернізований пошук та візуалізацію результатів без необхідності перезавантаження інформації. Додатковою перевагою хмарної платформи є її сумісність із широким спектром рішень сторонніх виробників. Так платформа Exabeam може взаємодіяти з 549 продуктами та підтримує 7937 готових синтаксичних аналізаторів для локальних та хмарних джерел даних.

 

У поведінковому аналізі платформа Exabeam підтримує формування базової лінії поведінки користувача чи пристрою, щоб виявити аномалії, навіть якщо норма постійно змінюється. Це дозволяє виявлення зловмисних дій, які неможливо визначити іншими способами. Крім того, ця функціональність дозволяє виявляти інсайдерів ще до того, як вони встигли завдати шкоди. Важлива можливість поведінкового аналізу рішення – автоматичне присвоєння ризикам оцінок з урахуванням машинного навчання, до того ж для ключових інцидентів визначаються пріоритети сортування, розслідування та реагування. Примітно, що Exabeam надає можливість доповнення функціональності поведінкового аналізу до наявних SIEM-систем сторонніх виробників.

Реалізована у платформі Exabeam автоматизація повністю охоплює весь робочий процес виявлення, розслідування та реагування на інциденти. При цьому в автоматичному режимі будується ланцюжок подій, які супроводжують будь-який інцидент. У ньому показується як стандартна, так і нестандартна поведінка. Додатково у платформі є вбудована контекстна модель відповіді на різні поведінки. Таким чином є вже готові сценарії реагування. За оцінкою виробника, завдяки автоматизації можна заощадити до 2/3 часу роботи спеціалістів на зборі та сортуванні подій, дозволяючи їм сконцентруватися на важливішому завданні аналізу.

 

Варто зазначити, що в SIEM-системах попереднього покоління автоматизація була реалізована лише на фінальній стадії видачі відповіді на інцидент, тепер же у платформі Exabeam автоматизовані всі етапи, починаючи з виявлення подій, з подальшим їх сортуванням та розслідуванням.

Існує кілька методів застосування платформи Exabeam. Найпростіший з них – встановлення сервісу Exabeam Security Log Management, який дозволяє збирати журнали інцидентів у хмарному сховищі з підтримкою в ньому пошукових запитів для виявлення подій, що цікавлять. У цьому рішенні також можна робити графіки та діаграми. Така функціональність знайома тим, кому довелося використовувати найпоширеніші SIEM-системи. За необхідності використання вже готових правил та аналітики, підійде розміщений у хмарі продукт Exabeam SIEM. Функція поведінкового аналізу є в Exabeam Security Analytics. Додаткова функціональність автоматизації реалізована в Exabeam Security Investigation. Своєю чергою, весь перерахований вище перелік функцій є в Exabeam Fusion.

Схема роботи платформи Exabeam побудована таким чином, що на першій стадії збираються журнали подій як у локальній мережі, так і у хмарних компонентах ІТ-інфраструктури. Ці дані можна збагачувати за допомогою контекстів інших систем. Журнали, що направляються в хмарне сховище, можна також доповнити геолокаційною інформацією. Після обробки журналів формуються події, з якими платформа працює надалі, створюючи лінії поведінки користувачів та пристроїв, виконуючи пошук, виявляючи відхилення від нормальної поведінки й присвоюючи таким відхиленням оцінки в балах. В результаті платформа в автоматичному режимі формує відповіді на події, що передаються за допомогою API у різноманітні системи безпеки.

 

Ліцензування продуктів Exabeam передбачає варіанти підписки на один, три чи п'ять років. Вартість також залежить від обсягу даних, що передаються щодня, і від тривалості їх зберігання в хмарі, яка може досягати 10 років. Виробник також пропонує модулі розширення, які ліцензуються окремо.

Програму вебінару продовжив виступ Сергія Хафнера, інженера з підтримки продажів компанії Exabeam, який провів живу демонстрацію можливостей платформи. Він почав із розгортання системи збору сповіщень як із пристроїв, розташованих як у локальній мережі, так і в хмарах. В рамках модуля Log Stream можна виконувати фільтрацію отриманих сповіщень. Оскільки їх може налічуватися близько кількох мільйонів, як у використаному прикладі, виконувати вручну аналіз всього обсягу для виявлення інциденту просто неможливо в розумний відрізок часу.

Експерт продемонстрував як можна впоратися з таким завданням із застосуванням модуля Advanced Analytics. З його допомогою наочно подається інформація про активність всіх користувачів та пристроїв, причому кожна дія супроводжується оцінкою того, як подія відрізняється від звичайної поведінки. Розглянутий приклад показав незвичайні активності одного з користувачів із докладним документуванням, завдяки чому можна оперативно провести розслідування. А при підозрі про злом облікового запису, можна віддалено перезапустити процес двофакторної аутентифікації розглянутого користувача.

 

Були також розглянуті можливості модуля Exabeam Rules, що постачається з кількома сотнями правил, застосування яких дозволяє швидко виявити підозрілу активність. Своєю чергою модуль Outcomes Navigator наочно показує стан захищеності ІТ-інфраструктури підприємства від різних загроз, а також видає рекомендації щодо її посилення.

 

Слід пам'ятати, що впровадження платформи Exabeam передбачає процес вивчення поведінки користувачів та пристроїв ІТ-інфраструктури підприємства, який займає від двох тижнів. Після цього система починає коректно оцінювати відхилення від нормальної поведінки із виставленням балів.