三個字母的縮寫字總是比較好記,也比較好念,再多一個字母通常會增加很多想像。
當Gartner將使用者行為分析(User Behavior Analytics, UBA)市場從UBA重新命名為User and Entity Behavior Analytics(UEBA)的時候
除了說把這個詞彙變得更肥一點,其實也更緊密連接它們彼此之間的關係。大多數的企業都知道內部使用者可能帶來的威脅,不管是惡意發起或是被駭客入侵。但是其中許多企業還是看不到來自「內部人員」電腦的風險,或是如同Gartner的定義,網路上的各個實體(Entity)。
儘管現代的資訊科技距離伺服器自己叛變然後把資料偷送出去的時間還很遠,但是駭客佔領機器,然後控制資料傳輸這樣的事件可是現在就在進行中。
美國資安公司Exabeam在最近一次的客戶實測中發現,當他們把客戶的網路流量納入分析平台中,結果發現攻擊者正在進行一大堆危險的攻擊。其中包括DNS Tunneling以及對Active Directory惡意狂送Authentication Request。
有趣的是這個客戶養了一堆資深的資安人員,而且也建置了先進的網路資安設備。但是這些對於偵測進階攻擊幾乎沒甚麼幫助;只有Exabeam成功發現駭客攻擊。對於CISO而言這是個難堪的真相,因為已經花了幾千萬的預算建置沙箱(Sandbox)以及次世代資安系統。然而事實的真相是UEBA的E還是需要高度注意。
根據多年輔導客戶的經驗,我們發現台灣的客戶雖然已經花上大筆預算建置SIEM,但是一直缺乏同時精通SIEM操作設計以及領域知識(Domain Know-How)的專家,導致大量的Log分散各地,不能集中處理,或是SIEM平台無法分析可行動(Actionable)的資訊。這兩個最大的缺點正是Exabeam主要核心功能最擅長的地方,Exabeam是使用者行為分析的最佳解決方案,透過擷取現有Log資料可以快速偵測進階攻擊,以幫助資安人員排列事件的優先順序,並達到更快速的反應。
Exabeam的Stateful User Tracking™會組合個別的資安事件及異常行為成為一個完整的攻擊生命週期,以自動化的方式來減輕資安分析師的大量工作。這可以大幅降低攻擊的偵測與回應的時間,否則原本可能無從發現內部網路存在駭客攻擊。
有鑑於此,數位資安特別與日本Macnica Networks合作引進全新的Exabeam 3.0,其中包含新的彈性架構(可延伸的多重節點),並且加入許多對於網路流量分析的新功能。從本質上來說,它就是一個全新的次世代 UEBA 架構,完全可以支援十倍以上過去的資料量。Exabeam 3.0特別適合用在雲端佈署中,因為在維持相同硬體裝置狀況下,可能隨時要增加或是減少配置的節點數量。
如果您想多了解有關Exabeam的運作,請與我們聯絡。
(本文圖片來源:Designed by Freepik)