Exabeamのレビューと評価

政府および民間企業に影響を与える最大のデータ侵害のほとんどは、誰かが許可されたユーザーのセキュリティ資格情報を盗み、それらの資格情報を使用してデータを盗むときに発生します。 Target、Sony、Office of Personnel Managementなどの広く公開されている最近の侵害では、これらの企業にインストールされた侵入検知システム（IDS）で攻撃が発生しましたが、残念ながら誰も気づきませんでした。 Exabeamユーザー行動インテリジェンスプラットフォーム（25, 000ドルから）は、Active Directory（AD）やセキュリティ情報とイベント管理（SIEM）ソフトウェアやアプライアンスなど、さまざまなソースから情報を収集し、今風のファッション。

物理アプライアンスまたは仮想アプライアンスとして配信できるExabeamは、組織のイベント履歴を調べて正常な状態を特定し、正常から逸脱したイベントを調べることで機能します。 また、Exabeamのサブスクリプションコストは、監視対象のユーザーとデバイスの数によって異なります。 この機能が特殊なように思えるのは、そうなっているからです。 Exabeamは優れたソフトウェアですが、GFI LanGuardやViewfinityなどの他のツールとともに、設備の整ったネットワークセキュリティツールボックスの1つのコンポーネントにすぎません。

設定する

このレビューでは、クラウド環境で実際の匿名化された企業データに対してExabeam v1.7をテストしました。 実際の従業員データを使用する方がより現実的でしたが、おそらく多くの連邦法に違反していたでしょう。 同様に、Exabeamは通常、企業のデータセンターのアプライアンスで実行されますが、この場合、実用性が異なるアプローチを決定しました。

実行を開始すると、Exabeamは迅速に分析を実行できました。 正確に機能する速度は、組織の規模や資産の数など、多くの変数に依存しますが、Exabeamによると、最初の分析の通常の時間は2〜3日です。 ただし、疑わしいイベントが発生した場合、Exabeamソフトウェアはほとんどすぐに結果を返し始めます。

企業の正常な状態を学習している場合でも、Exabeamは明らかに正常ではないイベントを見つけることができます。 たとえば、ソフトウェアが、数十の同時セッションでエンジニアリング部門のデータにログインしている営業部門の従業員を検出した場合、何か調査が必要であることを示しています。

実際、Exabeamは、他の方法で行われた検査では見落とされる可能性のある微妙なイベントを嗅ぎ分けることができます。 たとえば、ハッカーの集団が多い場所（ロシアやウクライナなど）で知られている場所から企業ネットワークにログインしたことのない従業員が、一度も使用したことのないコンピューターからログインしたとします。 その後、従業員が大量のデータのダウンロードを開始すると、Exabeamはほぼ瞬時にセッションにフラグを立てます。

しかし、それほど明白である必要はありません。 おそらくExabeamは、実際の従業員が会社のラップトップからログインしていることに気づきますが、通常とは異なる時間に、または休暇中にログインしている場合があります。 次に、従業員が働いていないエリアのファイルにアクセスする従業員を記録します。 Exabeamは、特定のハッカーとしてフラグを立てることはできませんが、異常なアクティビティに気付き、それに応じてスコアを付けます。

Exabeamは、企業がステートフルユーザートラッキングと呼んでいるものを通じてすべてのユーザーアクティビティをスコアリングすることにより機能し、その後、スコアを経時的に累積します。 ソフトウェアは、各イベントのリストに説明とスコアを提示します。 データのあるページには参照リンクが含まれています。 疑わしいセッションの一例では、Exabeamは仮想プライベートネットワーク（VPN）を使用してウクライナからログインし、初めてコンピューターを使用し、不明なインターネットサービスプロバイダー（ISP）を使用し、以前は不明だったIPを使用している人を見つけました住所。 次に、Exabeamは特権の昇格や新しいネットワークゾーンへのアクセスなどの特性を調査しました。 そのすべてに加えて、他のセキュリティデバイスからの入力により、Exabeamはスコアを上げ、セキュリティチームに警告しました。

また、Exabeamは時間の経過に伴うユーザーの行動を学習し、頻繁に旅行する従業員や他の人を特定し、いつどのリソースにアクセスするかを学習します。 ユーザーが使用する資産の種類（ラップトップまたはデスクトップコンピューターなど）を追跡し、それらのコンピューターを使用していないときにイベントにフラグを立てることができます。

おそらく同様に重要なこととして、Exabeamは、異常に多くのセキュリティイベントが発生していると思われる特定のコンピューターにフラグを立てることができます。

Exabeamはユーザーの行動を監視するため、影の従業員を見つけることもできます。 これらは、ネットワークに長期間アクセスできるようにするために、おそらく数か月前にハッカーによって作成された偽の従業員です。 ただし、これらの従業員は通常の作業活動を行っておらず、代わりに異常な時間帯や異常な活動を行っているときにネットワークに表示されるため、存在を確認できるようにフラグが立てられます。

Exabeamの有用性

Exabeamは、イベントとアクティビティを相互に関連付けて表示できるため、セキュリティマネージャーに何が起こっているのか、個人または資産にフラグが立てられた理由が明らかなため、非常に便利です。 すべてのデータがバックグラウンドで利用可能であるため、特定の人がフラグを立てる原因となった特定の人の行動をドリルダウンして確認でき、時間の経過や企業全体の活動を追跡できます。

Exabeamは時間を通じてイベントと人を追跡するため、疑わしいイベントがいつ発生したか、その瞬間に何が起こったのか、どのイベントが続いたのかを正確に確認できます。 ハッカーが防御に侵入するにつれてセキュリティイベントが展開するのを確認し、ユーザー名、昇格した権限、アクセスしたデータがどのように変更されたかを確認できます。 また、アクセスしたデータを正確に確認することもできます。

Exabeamを実装するには、アプライアンスをネットワークに接続するか、ADおよびSIEMを監視できるVMware仮想マシン（VM）にインストールする必要があります。 これらのデバイスにアクセスするための基本情報を提供し、実行する必要があります。 これですべてです。ただし、検索して表示するデータを最大限に活用する方法を学習するために時間を費やすことで、配当を支払うことになります。

Exabeamが稼働すると、使用するためのトレーニングはほとんど必要ありません。 トレーニングを受けたITセキュリティスタッフを見つけるのが難しいことを考えると、Exabeamはスタッフのコストを管理するために費用を支払う可能性があります。 いずれの場合でも、組織とそのスタッフの何年もの親密な知識を習得するには、分析レベルを迅速に実行します。 また、ほとんどのSIEM製品によって生成される大量のデータを考慮すると、他の方法を見つけることが不可能なイベントを見ることができます。 これについて考える1つの方法は、ターゲットがExabeamを使用していた場合、違反は発生しなかった可能性があります。