家评论 Exabeam评论与评分

Exabeam评论与评分

2024

视频: 2021 Cybersecurity Trends (十月 2024)

当某人窃取授权用户的安全凭据，然后使用这些凭据窃取数据时，几乎所有影响政府和私营企业的最大数据泄露事件均会发生。在最近广为流传的Target，Sony和人事管理办公室等漏洞中，这些企业安装的入侵检测系统（IDS）看到了攻击的发生，但不幸的是，没有人注意到。 Exabeam用户行为智能平台（起价25, 000美元）旨在收集来自各种不同来源的信息，包括Active Directory（AD）以及您的安全信息和事件管理（SIEM）软件和设备，并报告服务器中的可疑行为。及时的时尚。

Exabeam既可以作为物理设备也可以作为虚拟设备提供，其工作方式是检查组织的事件历史记录以确定正常情况，然后检查偏离正常情况的事件。 Exabeam的订阅费用也根据受监视的用户和设备的数量而有所不同。如果此功能听起来很专业，那是因为。 Exabeam是一款出色的软件，但它应该只是功能完善的网络安全工具箱中的一个组件，以及其他工具，例如GFI LanGuard和Viewfinity。

设定

在本次审查中，我针对云环境中的真实但匿名的公司数据测试了Exabeam v1.7。使用真实的员工数据会更现实，但可能会违反许多联邦法律。同样，Exabeam通常在公司数据中心的设备上运行，但在这种情况下，实用性要求使用其他方法。

开始运行后，Exabeam能够快速执行分析。它的运行速度究竟有多快取决于许多变量，包括组织的规模和资产数量，但Exabeam表示，第一次分析的通常时间为两到三天。但是，如果出现可疑事件，Exabeam软件几乎可以立即开始返回结果。

即使在了解企业中的正常情况时，Exabeam仍然能够发现明显不正常的事件。例如，如果该软件检测到销售部门的一名雇员同时进行数十次会话登录到工程部门的数据，则表明存在需要进行调查的良好迹象。

实际上，Exabeam可以嗅出一些细微的事件，而用其他方法进行的检查可能会漏掉这些细微的事件。举例来说，假设一个从未出差的员工从一个以黑客数量众多（例如俄罗斯或乌克兰）闻名的位置登录公司网络，而他们是通过从未使用过的计算机进行登录的。如果员工随后开始下载大量数据，Exabeam将立即标记该会话。

但这并不需要那么明显。也许Exabeam注意到真正的员工正在使用公司的笔记本电脑登录，但是却是在一天中的不寻常时间，或者是在他们休假的时候。然后，它记录该员工访问他们不工作的区域中的文件。 Exabeam可能不会将其标记为某个黑客，但会注意到异常活动并对其进行相应的评分。

Exabeam通过对公司称为“有状态用户跟踪”的所有用户活动进行评分，然后随时间累积得分。然后，软件会提供每个事件的列表以及说明和得分。包含数据的页面包括参考链接。在一个可疑会话的示例中，Exabeam发现一个人使用虚拟专用网络（VPN）从乌克兰登录，首次使用计算机，使用未知的Internet服务提供商（ISP），并使用以前未知的IP地址。然后，Exabeam检查了特权提升和对新网络区域的访问等特征。有了其他所有安全设备的输入，Exabeam的得分提高了，并向安全团队发出了警报。

Exabeam还可以了解用户在一段时间内的行为，确定员工和其他经常出差的人，并了解他们访问哪些资源以及何时访问。它跟踪一个人使用什么类型的资产（例如膝上型计算机或台式计算机），并且可以在他们不使用这些计算机时标记事件。

也许同样重要，Exabeam可以标记似乎具有异常高数量安全事件的特定计算机，这也许表明它们被用作通过某些恶意软件先前创建的后门的途径。

由于Exabeam监视用户行为，因此也可以找到影子员工。这些是由黑客创建的假员工，可能是几个月前创建的，以作为长时间访问网络的一种方式。但是，由于这些员工没有正常的工作活动，而是在异常的时间或进行异常的活动时出现在网络上，因此会对其进行标记，以便确认其存在。

是什么让Exabeam如此有用

Exabeam如此有用，因为它能够关联事件和活动，然后显示它们，以便对安全管理人员来说显而易见的是发生了什么，以及为什么标记了人员或资产。由于所有数据都在后台可用，因此您可以向下钻取以查看某个特定人员的举动是否导致了他们的被标记，并且可以随时间推移或通过企业跟踪他们的活动。

由于Exabeam会随时间跟踪事件和人员，因此可以准确地查看可疑事件的发生时间，当时发生的情况以及随后发生的事件。您可以观察到黑客入侵您的防御时发生的安全事件，并观察它们如何更改用户名，提升的特权和访问的数据。您还可以确切查看他们访问了哪些数据。

实施Exabeam要求您将设备连接到网络或安装在VMware虚拟机（VM）中，以在其中监视AD和SIEM。您将需要提供访问这些设备的基本信息，然后使其运行。这就是全部内容，但是它将花一些时间来学习如何最有效地利用它所发现和呈现的数据，这将是有好处的。

一旦启动并运行，Exabeam几乎不需要培训就可以使用。考虑到找到训练有素的IT安全人员的困难，Exabeam可以自己控制成本，以收回成本。无论如何，它都会快速执行分析级别，这需要花费数年的时间来了解组织及其员工。而且，考虑到大多数SIEM产品产生的大量数据，它可以看到原本无法通过其他任何方式找到的事件。考虑这一点的一种方法是，如果Target一直在使用Exabeam，则该突破可能永远不会发生，或者如果已经突破，它将立即结束。