7 nejlepších nástrojů pro detekci hrozeb zasvěcených osob
Mnoho organizací chápe, že potřebují ochranu sítě před hrozbami mimo jejich sítě. Ale co se stane, když hrozba přijde zevnitř? V tomto článku se ponoříme do některých nejlepších nástrojů pro detekci vnitřních hrozeb, které můžete použít k ochraně svých aktiv před nepoctivými interními hrozbami.
Zde je náš seznam sedmi nejlepších nástrojů pro detekci zasvěcených hrozeb:
- VOLBA REDAKTORA SolarWinds Security Event Manager Poskytuje nejlepší kombinaci kontroly vnitřních hrozeb a flexibility.
- ManageEngine Endpoint DLP Plus (ZKOUŠKA ZDARMA)Tento systém prevence ztráty dat sleduje přístup uživatelů k citlivým datům, aby odhalil vnitřní hrozby na všech koncových bodech. Běží na Windows Server.
- Monitorování zabezpečení Datadog Poskytuje vynikající předkonfigurovaná pravidla pro rychlé nasazení.
- Monitor PRTG Používá specializovaný senzor ke sledování chování uživatelů.
- Splunk Využívá analýzu skupin vrstevníků ke sledování skupin i jednotlivců.
- ActivTrak Nabízí rozsáhlou detekci hrozeb ve spojení s přehledem efektivity.
- Kód42 Umožňuje rozsáhlou ochranu duševního vlastnictví a monitorování dat.
Nejlepší nástroje pro detekci vnitřních hrozeb
Naše metodika pro výběr nástroje pro detekci vnitřních hrozeb
Přezkoumali jsme trh se systémy pro detekci vnitřních hrozeb a analyzovali nástroje na základě následujících kritérií:
- Systém, který využívá strojové učení k vytvoření základní linie normální aktivity
- Balíček, který hledá sekundární indikátory hrozby před úplným ohlášením narušení
- Služba, která zahrnuje upozornění, která mají upozornit techniky
- Doporučení pro zpřísnění správy přístupových práv
- Možnosti přenosu dat do analytických nástrojů
- Bezplatná zkušební verze nebo demo systém pro bezplatné posouzení
- Dobrá hodnota za peníze od nástroje, který nabízí plnohodnotnou detekci narušení za rozumnou cenu
S ohledem na tato výběrová kritéria jsme identifikovali některé dostupné a účinné nástroje pro detekci vnitřních hrozeb.
1. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds Security Event Manager (SEM)je centralizovaná bezpečnostní aplikace pro Windows, která dokáže identifikovat a předcházet hrozbám jak interně, tak externě. SEM funguje tak, že monitoruje protokoly událostí a stahuje tyto informace do vlastního systému pro analýzu, upozornění a korelaci.
Klíčové vlastnosti:
- Korelační motor.
- Proaktivní audit účtu.
- Automatická reakce na vnitřní hrozby.
Platforma obsahuje více než 700 vestavěných korelačních pravidel v kombinaci se stovkami automatických odpovědí, které mohou správci použít k vytvoření vlastních vlastních bezpečnostních pravidel. SEM může například detekovat události, jako je uzamčení účtů, přihlášení po pracovní době, a zjistit, kdy je přistupováno ke konkrétním souborům. Tyto události mohou být spojeny s akcí, jako je deaktivace uživatelského účtu, odeslání e-mailového upozornění nebo karanténa pracovní stanice.
SolarWinds SEM také nabízí monitorování aktivity a protokolování přístupu, což z něj dělá skvělý nástroj pro správu vnitřních hrozeb. Uvnitř budete moci rychle identifikovat uživatelské účty a vizualizovat jejich oprávnění ve vaší síti. Díky tomu je sledování dědičných oprávnění a řízení přístupu mnohem jednodušší, zejména pro větší organizace.
Namísto prohledávání souborů protokolů může funkce protokolování přístupu zvýraznit, kdo má privilegovaný účet, a zobrazit audit toho, jak přesně byl tento účet v síti používán. Přístup lze filtrovat podle uživatele, času nebo koncového bodu. To vám pomůže rychle určit, zda útok přichází zevnitř nebo vně vaší organizace.
Prostřednictvím zdroje informací o hrozbách si můžete prohlížet živé i historické záznamy aktivit, abyste mohli identifikovat anomálie nebo pomoci při forenzním vyšetřování. Prostřednictvím této zásoby dat můžete zastavit hrozby narušení přístupu a poté vytvořit korelační pravidla, která zabrání dalšímu výskytu těchto útoků zasvěcených osob.
Klady:
- Postaveno s ohledem na podnikání, může monitorovat operační systémy Windows, Linux, Unix a Mac
- Podporuje nástroje jako Snort, což umožňuje SEM být součástí větší strategie NIDS
- Více než 700 předem nakonfigurovaných výstrah, korelačních pravidel a šablon detekce poskytuje okamžitý přehled po instalaci
- Pravidla reakce na hrozby lze snadno vytvořit a používat inteligentní hlášení ke snížení falešných poplachů
- Vestavěné funkce vytváření sestav a řídicího panelu pomáhají snížit počet pomocných nástrojů, které potřebujete pro svůj IDS
Nevýhody:
- Hustota funkcí – vyžaduje čas na úplné prozkoumání všech funkcí
SolarWinds Security Event Manager lze testovat zcela zdarma prostřednictvím 30denní zkušební verze.
VÝBĚR REDAKCE
Mimo pouhé reakční nástroje,Správce událostí zabezpečení SolarWindsusnadňuje prohledávání prostředí aktivního adresáře a hledání neaktivních účtů, historických přístupových práv a informací o oprávněních. To výrazně zkrátí čas potřebný k provedení ručního auditu na vašem řadiči domény a pomůže odstranit všechny potenciální interní nedostatky dříve, než budou zneužity.
Zahájit 30denní bezplatnou zkušební verzi:solarwinds.com/security-event-manager
VY:Windows 10 a novější, Windows Server 2012 a novější, cloudové: Hypervisor, AWS a MS Azure
2. ManageEngine Endpoint DLP Plus (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
ManageEngine Endpoint DLP Plusimplementuje detekci vnitřních hrozeb, která se zaměřuje na sledování aktivity uživatelůpřístup k citlivým údajům. Mnoho systémů identifikace hrozeb zasvěcených osob nasazuje analýzu chování uživatelů a entit (UEBA) založenou na umělé inteligenci pro všechny aktivity uživatelů, ale strategie balíčku ManageEngine je vícelehká váhaprotože je omezena na činnost souboru.
Klíčové vlastnosti:
- Sleduje přístup k datům
- Identifikuje a kategorizuje citlivá data
- Sleduje pohyb souborů
Softwarový balíček Endpoint DLP Plus je třeba nainstalovat na jeden server. Všechny ostatní koncové body v systému jsou monitoroványpřes síť. Tato konfigurace vytváří jednu centrální konzolu pro celý podnik. Rozšíření standardního balíčku může oslovit vzdálená místa a umožnit tak bezpečnostnímu operačnímu centru sledovat aktivitu na všech místech.
Důležitým úkolem nastavení jakéhokoli systému zabezpečení dat je vytvořit definici toho, co je považováno za „citlivá“ data. Řídicí panel Endpoint DLP Plus obsahuje knihovnušablony zásadkteré poskytují přednastavené definice a ovládací prvky. Existují šablony pro všechny hlavní standardy ochrany dat a je také možné vytvořit si vlastní.
Použití šablony vytvoří politiku zabezpečení, která stanoví pravidla, podle kterých mohou skupiny uživatelů přistupovat, upravovat nebo odstraňovat různé typycitlivých údajů. Tyto ovládací prvky zahrnují dohled nad úložnými zařízeními USB, e-mailovými systémy a službami přenosu souborů na cloudové platformy.
Služba ManageEngine provedla prohledávání všech koncových bodů, aby identifikovala úložiště citlivých dat. Nástroj je schopen zpracovávat obrázky dokumentůOCRa dokáže rozpoznat kolekce polí, která svou blízkostí vytvářejí složený záznam citlivých dat. DLP pak kategorizuje každou instanci dat, která byla identifikována.
Thekategorizacecitlivých dat na různé typy umožňuje detailnější kontrolu nad tím, že umožňuje provádět některé akce v jedné kategorii, které by mohly být blokovány v jiné. Systém také umožňuje definovat důvěryhodné aplikace, které generují nebo zpracovávají citlivá data. Služba bude blokovat exporty dat z těchto privilegovaných softwarových balíčků do neautorizovaných aplikací.
Systém DLP se zvedneupozorněnípokud byla zjištěna podezřelá aktivita. Můžete nastavit pravidla, která umožní balíku, aby se s těmito událostmi vypořádal automaticky, nebo ponechat odpovědi ručním procesům.
Klady:
- K dispozici bezplatná verze
- Pravidla automatické odezvy
- Upozornění na identifikaci podezřelé aktivity
- Ovládání e-mailu a úložných zařízení USB
Nevýhody:
- Žádná cloudová možnost
Software pro ManageEngine Endpoint DLP Plus se nainstaluje naWindows Server. K dispozici jsou dvě edice: Free a Professional. TheVolný, uvolnitmožnost je omezena na sledování údajů o 25 koncových bodech. Placená verze se nazýváProfesionálníedice. Profesionální plán můžete posoudit na 30denní bezplatné zkušební verzi.
ManageEngine Endpoint DLP Plus ke stažení 30denní zkušební verze ZDARMA
3. Monitorování zabezpečení Datadog
Monitorování zabezpečení Datadogsi klade za cíl být holistickým přístupem k zabezpečení sítě přijímáním dat z každé části vaší sítě interně i externě. Platforma je extrémně flexibilní a umožňuje vám lovit hrozby ručně a využívat automatizaci k zastavení vnitřních hrozeb v jejich stopách.
Klíčové vlastnosti:
- 500+ integrací.
- Jednoduché uživatelské rozhraní.
- Desítky předkonfigurovaných pravidel detekce.
I když to může znít složitě, Datadog odvádí působivou práci při udržování čistého a uživatelsky přívětivého rozhraní. Prostřednictvím jediného skleněného panelu můžete identifikovat a třídit bezpečnostní události napříč dynamickými prostředími, ať už se jedná o cloud, místní prostředí nebo kombinaci obou.
Tato detekce hrozeb v reálném čase v kombinaci s předpřipravenými funkcemi Datadog umožňuje nasazení vaší strategie správy vnitřních hrozeb mnohem rychleji než na většině platforem. Desítky předkonfigurovaných pravidel detekce začnou fungovat okamžitě, což znamená, že můžete okamžitě vidět informace o útocích, nesprávných konfiguracích a potenciálních útocích počínaje vaším firewallem.
S více než 500 integracemi podporovanými dodavateli má Datadog jedny z nejflexibilnějších možností protokolování a monitorování ze všech nástrojů pro detekci hrozeb. Můžete mít například integrace pro AWS a G Suite a zároveň mít místní servery Windows a monitory koncových bodů, které přenášejí data do jednoho centralizovaného umístění.
Integrace s partnery vám umožňují pivotovat a přidávat další funkce do nových a stávajících nástrojů. Pro více funkcí odezvy na incidenty lze nainstalovat integraci CrowdStrike, která pomůže nasměrovat, jak se řeší interní hrozby, a poskytne vám větší kontrolu nad tím, jak tým zpracovává reakce na incidenty.
Když je nalezena možná vnitřní hrozba, může začít manuální vyšetřování, aby se zjistila její platnost a rozsah. Datadog drasticky zkracuje dobu vyšetřování tím, že se přímo integruje s komunikačními nástroji a také přiřazuje událostem vlastní skóre závažnosti.
Přiřazení události technikovi nebo týmu lze provést automatizací nebo ručně. Datadog vám umožňuje rychle sdílet bezpečnostní informace zvané „Signals“ s vaším týmem. Události lze sdílet prostřednictvím e-mailu, oznámení push nebo prostřednictvím aplikací třetích stran, jako je Slack nebo PagerDuty.
Klady:
- Vysoce škálovatelné cloudové monitorování, které umožňuje aplikace přes více sítí WAN
- Flexibilní ceny à la carte a možnosti funkcí
- Obrovské množství integrací, skvělé pro velké sítě využívající četné aplikace třetích stran
- Šablony fungují velmi dobře hned po vybalení, přizpůsobení je možné, ale ne vždy nutné
Nevýhody:
- Může mít prospěch z delší 30denní zkušební doby
Datadog Security Monitoring začíná na 0,20 $ (0,15 GBP) za gigabajt analyzovaných dat protokolu za měsíc. Chcete-li získat přístup k pravidlům detekce předem a umožnit 15měsíční uchovávání protokolů, cena se zvýší na 0,30 $ (0,22 GBP) za gigabajt přijatých dat.
Můžete vyzkoušet lov zasvěcených hrozeb s Datadogem zdarma prostřednictvím a 14denní zkušební verze .
4. Paessler PRTG Monitor
PRTG Network Monitor je známý svým robustním a flexibilním monitorováním založeným na senzorech, ale nyní se rozšířil na detekci vnitřních hrozeb. Společnosti Paessler a Flowmon Networks se nedávno spojily, aby rozšířily možnosti PRTG Monitor o detekci vnitřních hrozeb, hloubkovou analýzu toků a analýzu chování.
Klíčové vlastnosti:
- Strojové učení založené na umělé inteligenci.
- Vysoce škálovatelné.
- Automatické seskupování a prioritizace.
Díky tomuto rozšíření je platforma PRTG podstatně flexibilnější, zejména pro společnosti, které hledají kombinaci detekce vnitřních hrozeb a monitorování sítě.
Stejně jako všechny monitory PRTG funguje detekce vnitřních hrozeb kombinací dvou vlastních senzorů, senzoru SNMP a senzoru skriptu Python. Senzor SNMP se používá k monitorování zařízení Flowmon, zatímco skript Python umožňuje zobrazení dat z Flowmon na řídicí panel PRTG.
Společně tyto senzory poskytují jak hluboké vhledy do stavu sítě zařízení, tak i kontextové bezpečnostní informace, které lze zpracovat strojovým učením. Po zpracování jsou tyto bezpečnostní události seskupeny a poté jim je přiřazena priorita v závislosti na jejich závažnosti, než se zobrazí na monitorovacím panelu PRTG.
Živý řídicí panel uvádí celou vaši síť do perspektivy prostřednictvím řady klíčových přehledů, grafů a živých map sítě. Všechny vaše klíčové informace o správě vnitřních hrozeb a monitorování sítě lze zobrazit a přizpůsobit prostřednictvím více než 300 různých grafických objektů a vizualizací.
Na backendu PRTG umožňuje flexibilní upozornění na základě kombinace podmínek, prahů a kvót. Všechny výstrahy jsou vysoce konfigurovatelné, což vám umožňuje snížit celkový počet výstrah, které vaše operační středisko obdrží. Můžete si vybrat, zda chcete být upozorněni prostřednictvím e-mailu, požadavku HTTP, oznámení push nebo z aplikací PRTG pro Android a iPhone.
Technici mohou rychle přepínat z PRTG na Flowmon při odstraňování problémů s událostí a aplikovat analýzu hlavních příčin; mohou prohledávat další související bezpečnostní události, aby získali jasnější představu o tom, co může být vnitřní hrozbou. Kombinací správy vnitřních hrozeb s monitorováním sítě zjednodušíte pracovní postup a zvýšíte rychlost, s jakou mohou pracovníci IT a tým pro zabezpečení sítě identifikovat a řešit problémy.
Klady:
- Používá analýzu chování k identifikaci podezřelé nebo škodlivé aktivity
- Vestavěná analýza hlavních příčin pomáhá technikům řešit problémy rychleji
- Drag and drop editor usnadňuje vytváření vlastních zobrazení a sestav
- Podporuje širokou škálu médií výstrah, jako jsou SMS, e-mail a integrace třetích stran
- Podporuje freewarovou verzi
Nevýhody:
- Je velmi komplexní platforma s mnoha funkcemi a pohyblivými částmi, které vyžadují čas se naučit
- Vlastní senzory může být někdy náročné ručně nakonfigurovat
PTRG Monitor je vysoce flexibilní a navržený tak, aby vyhovoval prakticky každé velké společnosti. Cena se odvíjí od počtu nasazených senzorů. Můžete si zdarma vyzkoušet plnou verzi PRTG a jeho systému detekce vnitřních hrozeb prostřednictvím a 30denní zkušební verze .
5. Splunk
Splunkse prodává jako platforma „data ke všemu“, což z ní činí extrémně flexibilní nástroj pro detekci, monitorování a dokonce i business intelligence. Prozatím se zaměříme na to, jak lze Splunk konkrétně použít pro správu vnitřních hrozeb.
Klíčové vlastnosti:
- Analýza chování.
- Prevence krádeže dat.
- Cloudové a místní možnosti.
Stejně jako mnoho z těchto platforem využívá Splunk svůj výkon sběrem signálů prostřednictvím protokolů událostí stažených z koncových bodů, serverů a aplikací. Tyto události jsou přeneseny do ekosystému Splunk a zobrazeny na jediném řídicím panelu. Strojové učení a analýza chování pomáhají zvýraznit klíčové bezpečnostní události, které ruční kontrola možná přehlédla, a dokonce mohou použít automatickou nápravu prostřednictvím skriptů.
Splunk vyniká v detekci vnitřních hrozeb především prostřednictvím svého systému User Behavior Analytics (UBA). Jedná se o formu nepřetržitého monitorování hrozeb, která kombinuje vámi definovaná pravidla s tím, jak se uživatel pravidelně chová. Pokud je pravidlo porušeno nebo je zjištěno podezřelé chování, lze provést okamžitou akci k zastavení hrozby.
Tato kombinace základního chování a analýzy partnerských skupin poskytuje jasné okno nejen do akcí interního účtu, ale také do záměru akce uživatele. Například akce kompromitovaného účtu bude vypadat mnohem jinak než zaměstnanec, který se ručně pokouší o přístup k částem sítě, ke kterým nemá oprávnění.
Data, která Splunk dokáže zpracovat, vám poskytují podrobný pohled na tyto události a dávají vám k dispozici nástroje pro jejich řešení. Kromě neobvyklé aktivity na účtu má Splunk schopnost detekovat exfiltraci dat, eskalaci oprávnění a zneužití privilegovaných účtů.
Prostřednictvím neustálého monitorování sítě může platforma Splunk automaticky zabránit a upozornit na krádež dat. Soukromé nebo citlivé informace lze označit jako důvěrné, což společnosti Splunk umožňuje zabránit jejich odchodu přes nezabezpečené kanály a také auditovat historii jejich přístupu.
Klady:
- Může využít analýzu chování k detekci hrozeb, které nejsou objeveny prostřednictvím protokolů
- Vynikající uživatelské rozhraní, vysoce vizuální se snadnými možnostmi přizpůsobení
- Snadné stanovení priorit událostí
- Zaměřeno na podnikání
- K dispozici pro Linux a Windows
Nevýhody:
- Cena není transparentní, vyžaduje cenovou nabídku od dodavatele
- Vhodné spíše pro velké podniky
- Pro dotazy používá jazyk SPL (Search Processing Language), čímž prohlubuje křivku učení
Splunk má tři cenové úrovně, počínaje bezplatnou verzí umožňující 500 MB denního indexování. Monitorování a upozornění jsou k dispozici pouze prostřednictvím jejich standardní a prémiové verze, ale vaše měsíční náklady budou úzce souviset s tím, kolik dat Splunk zpracovává.
Splunk můžete otestovat prostřednictvím a stažení zdarma .
Viz také: Audit zabezpečení sítě
6. ActivTrak
ActivTrak je specializovaná platforma pro monitorování zaměstnanců, provozní efektivitu a správu zabezpečení. Protože ActivTrak shromažďuje tolik informací o chování koncových uživatelů, může snadno identifikovat vnitřní hrozby a hrát klíčovou roli jako nástroj pro správu vnitřních hrozeb.
Klíčové vlastnosti:
- Hloubkové monitorování chování.
- Redakce dat.
- Zprávy o produktivitě zaměstnanců.
Prostřednictvím řady lehkých senzorů na koncových zařízeních může ActivTrak okamžitě zastavit vnitřní hrozby a také poskytnout přehled o rozsahu hrozeb na úrovni celé společnosti. Tyto senzory dokážou nejen identifikovat vnitřní hrozby, ale číst do kontextu bezpečnostní události na hlubší úrovni.
Například, když zaměstnanec náhodně otevře škodlivý e-mail, je to velmi odlišné od zaměstnanců, kteří aktivně instalují hackerské nástroje na své počítače. Pochopení tohoto rozdílu pomáhá utvářet vlastní reakci, která je vhodná a působivá.
Prostřednictvím těchto poznatků si můžete prohlédnout jednotlivce i konkrétní oddělení nebo skupiny, které se zapojují do vysoce rizikového chování. Zobrazení těchto informací na tak vysoké úrovni pomáhá větším organizacím sledovat jejich bezpečnostní pozici podle oddělení a dokonce odhalovat příležitosti pro další vzdělávání v oblasti bezpečnosti nebo změny zásad.
V kombinaci s tímto přehledem chování na vysoké úrovni poskytuje ActivTrak také základní ochranu proti malwaru, omezení webových stránek a automatizovanou úpravu dat.
Mimo zabezpečení nabízí ActivTrak další funkce, jako je sledování využití aplikací, zprávy o produktivitě zaměstnanců a monitorování pracovních postupů pro identifikaci nevyváženého pracovního zatížení a špičky pracovní doby.
Klady:
- Může monitorovat chování zaměstnanců pro účely bezpečnosti a výkonu
- Nabízí vysoce přizpůsobitelné automatizované sanace
- Zahrnuje základní zabezpečení koncových bodů pro ochranu proti malwaru
Nevýhody:
- Navrženo spíše pro monitorování zaměstnanců, které se může zdát invazivní v závislosti na firemní kultuře
- Doplňky, jako je antivirus, nejsou tak účinné jako samostatné AV produkty
ActivTrak je považován za software Freemium, který nabízí některé ze svých nejzákladnějších funkcí zcela zdarma. Chcete-li získat přístup k funkcím, jako jsou přizpůsobená upozornění, podrobná automatizace a vzdálené nasazení, budete potřebovat pokročilý plán začínající na 7,20 $ (5,39 GBP) na uživatele a měsíc.
Kompletní ceník si můžete prohlédnout na Cenová stránka ActivTrak .
7. Kód42
Kód42je SaaS, který se téměř výhradně zaměřuje na zastavení a prevenci vnitřních hrozeb pro síť jakékoli velikosti. Ať už chráníte duševní vlastnictví nebo zastavujete nepoctivého zaměstnance, Code42 využívá kombinaci detekce, vyšetřování a reakce k ukončení škodlivých aktivit.
Klíčové vlastnosti:
- Flexibilní analýza rizik.
- Ochrana duševního vlastnictví.
- Automatická reakce na incidenty.
Platforma Code42 se podrobně zabývá ochranou dat a aplikuje vlastní řešení pro každý scénář. Systém například používá samostatné techniky k zabezpečení dat z cloudové platformy, jako je Disk Google, než když zaměstnanec neočekávaně opustí společnost.
Monitorováním prakticky veškeré aktivity souborů může Code42 získat informace o porušení a identifikovat, co by mělo nebo nemělo být považováno za přijatelné podle bezpečnostní politiky. Tato technika může vyplnit mezeru tam, kde jednotlivá řešení, jako je prevence ztráty dat (DLP) nebo monitorování aktivity uživatelů (UAM), zaostávají.
Díky sledování událostí zabezpečení na takové úrovni je vaše společnost schopna identifikovat velké bezpečnostní nedostatky, jako je vystavení dat, nejrizikovější uživatelé a nejzranitelnější platformy třetích stran.
Použití tohoto širokého pokrytí vám Code42 umožňuje rychle podniknout kroky proti hrozbám prostřednictvím ruční kontroly i automatizované nápravy. Správci si mohou zobrazit předem upřednostňovaný řídicí panel, který zdůrazňuje nejnaléhavější bezpečnostní záležitosti, aby se mohli pustit do práce na tom, na čem nejvíce záleží.
Je zde celá sekce věnovaná Security Orchestration Automation and Response (SOAR), která dává bezpečnostním týmům pravomoc vytvářet pravidla založená na podmínkách nebo prahových hodnotách a aplikovat přizpůsobené reakce na každou událost.
A konečně, Code42 se může ponořit hluboko do kontextu a změny v aktivitě jednotlivého uživatele. Platforma pracuje na monitorování privilegovaných účtů a může blíže sledovat ty uživatele, kteří vykazují známky toho, že se stávají spíše zasvěcenými hrozbami.
Například uživatelé, kteří neuspějí v testech phishingu, vyjádřili nespokojenost s prací nebo pracovali v nezabezpečených sítích, budou mít na své uživatelské účty vyšší úroveň kontroly.
Klady:
- Dokáže automaticky obnovit soubory do jejich předchozího umístění a stavu
- Funguje spíše jako nástroj SIEM, takže je dobrou volbou pro ty, kteří hledají pokročilejší pokrytí a monitorování
- Může auditovat přístup uživatelů k síťovým souborům a umístěním
- Analytické nástroje mohou pomoci určit, zda byly akce škodlivé nebo náhodné
Nevýhody:
- Při použití ve velkém může být náročné na zdroje
- Má strmou křivku učení než podobný software IDS
- Drahé, cena za počítač
Code42 přichází ve dvou cenových strukturách, Basic a Advanced. Pokročilá úroveň vám poskytuje hloubkové vyšetřovací nástroje, detekci smazání souborů a monitorování cloudových souborů. Ceny však nejsou veřejně dostupné, a bezplatná 30denní zkušební verze se nabízí.
Výběr nástroje pro detekci vnitřních hrozeb
Zúžili jsme šest nejlepších nástrojů pro detekci vnitřních hrozeb, ale který je pro vás ten pravý?
Pokud jste střední až velká organizaceSprávce událostí zabezpečení SolarWindsposkytuje široké pokrytí proti vnitřním hrozbám za přiměřenou cenu. SolarWinds SEM umožňuje správu vnitřních hrozeb ve spojení s možností škálovat a monitorovat další aspekty síťového zabezpečení na jedné snadno použitelné platformě.
ObaPaessler PRTGaDatadogjsou těsně na prvním místě s předpřipravenými sadami pravidel, intuitivními řídicími panely a škálovatelnými řešeními monitorování.
Časté dotazy k detekci zasvěcených hrozeb:
Jak monitorujete vnitřní hrozby?
Monitorujte vnitřní hrozby hledáním akcí prováděných držiteli uživatelských účtů, které se vymykají normě. Základní linii standardního chování je třeba stanovit na uživatele.
Jaké jsou indikátory vnitřní hrozby?
Bezpečnostní software pracuje na „indikátorech kompromitace“, aby identifikoval škodlivou aktivitu. Jsou známé jako IoC a existují specifické znaky chování související s hrozbami zevnitř.
Jaké jsou 4 metody detekce hrozeb?
Existují čtyři strategie detekce hrozeb:
- Analýza konfigurace – dochází ke komunikaci, která nezapadá do plánované architektury systému
- Modelování – Stanovte základní linii normální aktivity na uživatele a hledejte odchylky od této hodnoty
- Indikátor – Systémové změny (ukazatele kompromitace), o kterých je známo, že indikují škodlivé chování
- Chování při hrozbě – Známé vzorce činnosti, které mohou vést ke škodlivé události
Máte nějakou metodu pro sledování vnitřních hrozeb? Nezapomeňte nám sdělit své zkušenosti s hrozbami zevnitř v komentářích níže.