Izvajanje varnosti v oblaku je eden izmed ključnih delov vsake organizacije, ki se odloči za potovanje v oblak. Ob širjenju odtisov organizacije v oblaku po infrastrukturi kot storitev (IaaS) in platformi kot storitev (PaaS), ki obsega več računov in regij in dodeljuje priviligiran dostop več uporabnikom v tej obsežni pokrajini, postane očitno, da je spremljanje dejavnosti uporabnikov ena izmed bistvenih zahtev pri tem potovanju v oblak.
Ko gre za spremljanje vedenja uporabnikov, se na koncu vedno iščejo znaki dveh stvari:
1. Potencialno ogrožene poverilnice,
2. Notranje zlonamerne grožnje.
V rokah izkušenih napadalcev lahko ogrožene poverilnice opustošijo IT okolje podjetja. S pomočjo mehanizma za analizo vedenja uporabnikov in entitet (User and Entity Behaviour Analytics - UEBA), ki je ključna značilnost vsake varnostne platforme v oblaku (Cloud Native Security platform - CNSP), se lahko prepoznajo občutljive dejavnosti, kot so tvegano vedenje priviligiranih uporabnikov, spremembe v varnostnih skupinah in spremembe v konfiguracijah upravljanja identitet in dostopov (IAM). Vse to so lahko kazalniki ogroženih poverilnic in notranjih groženj. Z zgodnjim odkrivanjem lahko ustavimo te napade, preden pridejo do točke ogrožanja okolja v oblaku.
Na hitro, kaj sploh je UEBA?
UEBA je vrsta kibernetskega varnostnega postopka, ki upošteva "normalno" ravnanje uporabnikov. Po drugi strani pa zazna kakršno koli nepravilno vedenje, oziroma primere, ki odstopajo od normalnih vzorcev. Na primer, če določen uporabnik vsak dan prenese 10 MB datotek, nenadoma pa se ta promet poviša na gigabajte, bi sistem to napako zaznal in takoj opozoril na to anomalijo.
UEBA uporablja strojno učenje, algoritme in statistične analize, da ugotovi, kdaj pride do odstopanja od ustaljenih vzorcev in pokaže katere anomalije bi lahko bile resnične grožnje. UEBA lahko združi podatke, ki so zbrani v poročilih in dnevnikih, ter analizira datoteke, tok in pakete.
V UEBA ne spremljamo varnostnih dogodkov in naprav, namesto tega spremljamo uporabnike in entitete v sistemu. Osredotočamo se torej na notranje grožnje, to so zaposleni, ki so se lotili prevar, zaposleni, ki so že bili ogroženi, ljudje, ki imajo dostop do sistemov in izvajajo ciljne napade in poskuse goljufij, potem pa so tu še strežniki, aplikacije in naprave, ki delujejo v sistemu.
Spremljanje vedenja uporabnikov brez UEBA
Kje začeti brez nameščenega UEBA? Običajno z uporabno preiskovalnih orodij in zmogljivosti, ki jih ponujajo ponudniki storitev v oblaku. Vsak ponudnik storitev v oblaku zagotavlja zmožnosti upravljanja, skladnosti, operativne revizije in revizije tveganj za oceno svojega lastnega okolja v oblaku. To se zgodi s pomočjo zgodovine dogodkov z uporabo revizijskih dnevnikov, kot so CloudTrail za AWS, Azure-jev dnevnik aktivnosti (Azure Activity Log) in Google-vi dnevniki (Google's Stackdriver Logs). Z revizijskimi dnevniki si lahko ogledamo seznam dejavnosti v okoljih v oblaku in kdo je izvajal te dejavnosti.
Ročno pregledovanje teh dnevnikov pa je precej dolgotrajno, hkrati pa porabi veliko virov, še posebej v okoljih z več oblaki in zaradi tega jih veliko strank pošlje v orodje, kot je upravljanje informacij in dogodkov (Security Information and Event Management - SIEM). V takšnem orodju lahko začnejo z analizo in iskanjem podatkov, da bi našli več informacij, vzpostavili vzorce in raziskali dogodke. Tak postopek pa na žalost preprosto ne deluje dobro v javnem oblaku, saj se s tem pridobi preprosto preveč podatkov, problem je tudi v popolnem pomanjaknju konteksta v oblaku. Da bi na podlagi teh podatkov poskušali sprejeti učinkovite varnostne odločitve, je povsem nerealno. Zaradi tega je najboljša in najbolj efektivna rešitev "zaposlitev" zmogljivosti strojnega učenja (Machine Learning - ML), na primer Prisma Cloud (Palo Alto Networks), ali kakšnega drugega CNSP.
UEBA z rešitvijo Prisma Cloud
S Prisma Cloud lahko z ML izločimo človeški element v iskanju kazalnikov kompromisa (Indicators of Compromise - IoC) v okolju v oblaku. Pogon UEBA uporablja avtonomne sisteme za spremljanje dnevnikov, ki prihajajo iz različnih virov, da bi vzpostavili izhodiščno vrednost "normalne" dejavnosti, na podlagi tega zgrajenega modela pa začne iskati "nenavadno vedenje." Prisma Cloud uporablja te podatke za opozarjanje centra za zaščito ali centra za varnostne operacije (SOC oz. SecOps) o ugotovitvah nenavadnega vedenja.
Zvesto opozarjanje izjemno pripomore k zmanjšanju bremena za že preplavljene ekipe SOC v oblaku, saj ponuja bogate informacije o tem, kaj je kdo spremenil, v kakšnem časovnem obdobju, s katero napravo, na katerem viru in s katere lokacije, kaj je bila posledica te spremembe... Poleg tega bi si ob pregledu takšnih opozoril želeli raziskati tudi okoliške dogodke, ki vodijo k opozorilom. Dinamične preiskovalne zmogljivosti Prisma Cloud-a pa omogočajo hitro odkrivanje podrobnosti o nenavadnih opozorilih in celo vzorce, ki so bili določeni pred generiranjem opozorila.
Model, zgrajen s strojno inteligenco, upošteva različne podrobnosti, kot so uporabljena naprava, lokacija uporabnika pri dostopu do storitev, storitev do katere dostopate, izvorni IP naslov, ali je bila dejavnost izvedena med, oziroma zunaj delovnih ur uporabnika...
Na visoki ravni se opozorila ustvarijo na podlagi nenavadne lokacije, nenavadne dejavnosti, ki jo uporabnik izvaja, ali kombinacije nenavadne lokacije in dejavnosti. Prisma Cloud razvrsti ta nenavadna vedenja uporabnikov in entitet v tri kategorije: nenavadna uporabniška aktivnost, pretirani neuspehi pri prijavi, poskusi ugrabitve računa ali grobi napadi.
Pri preiskovanju teh opozoril lahko ekipa SOC v oblaku hitro odkrije obseg nenavadne dejavnosti, tako da jo pregleda v svojem okolju v oblaku.
Prisma Cloud torej ponuja metodo, s katero lahko skrbniki sistemov posredujejo povratne informacije modelu strojnega učenja, da se lahko ta nenehno uči in poveča natančnost opozoril.
Če vas zanima več o tej rešitvi podjetja Palo Alto Networks, nas kontaktirajte. Z veseljem vam bomo pomagali.