查看:Code42 Incydr–SaaS数据风险检测和响应

incydr. 代码42是Code42的新SaaS数据风险检测和响应解决方案,可以在不扰乱合法协作的情况下减轻文件曝光和exfiltration风险。

Code42侧重于与大规模“从家庭工作”的问题转移,即全球企业在全球企业中使用许多不同的协作工具的事实。虽然这些工具允许人们更有效地协作,但它们也允许他们共享敏感公司数据。不幸的是,传统的安全工具无法最大限度地减少(或消除)使用该功能的内部人的内部人的风险。

incydr. 做了什么?

incydr. 密切关注整个公司发生的所有文件相关事件’S环境并缩短了检测和响应内部威胁造成的数据风险所需的时间。

它通过(Windows,MacOS和Linux)端点代理,它检测文件的创建,修改,删除,共享等。相关数据集中收集并根据数据风险的几个维度进行分类:文件信息,矢量信息(关于它正在移动的位置,何时以及如何移动)和用户信息。

incydr. 尝试对每个维度进行调查和保留尽可能多的元数据:

  • 文件维度: 监视所有文件,将元数据保留为文件名,所有者,大小,路径,哈希等。
  • 矢量维度: Web浏览器(域名,活动浏览器标题URL等),云同步(Google,Microsoft,Dropbox等),文件共享(FTP,CUTL等),可移动媒体(供应商,型号,卷名称和大小,序列号,部分ID),等等
  • 用户维度: 识别行为模式(远程活动,OFF小时文件事件,隐藏的exfiltration的尝试),可以额外关注监控具有更高级别的风险因素(第三方承包商或离开员工)的用户,可保持最多90天的用户活动等。

incydr. 引擎使用人工智能(AI)和机器学习(ML)来获得问题的答案,例如“此用户通常工作的时间何时工作?”或者“用户在过去访问这些文件或者是第一次访问这些文件’s被送到他们的个人Gmail?“

incydr. 提供了与各种系统集成的支持:Gmail DLP,Office365 DLP,HR系统,JIRA问题跟踪系统,以及几乎任何身份服务(即,LDAP,SAML)。

与Incydr.一起使用

incydr. 提供了一个简单的界面,分为两个主要类别:检测和调查(法医搜索)。默认视图是(检测)风险曝光板,其中最重要的信息被分组和呈现。风险曝光仪表板提供了几个活动方面/镜头的概述:

审核Code42 Incydr.

图1。–风险曝光仪表板

“离开员工”镜头显示了最新的危险文件相关活动,这些用户已经告诉了他们正在离开或被公司被告知的公司所罢免的用户。

大多数用户将在留下公司时与他们一起使用数据。即使他们已经获得了一家公司电脑并指示不用于个人物品,但大多数(如果不是全部)员工有时会用它来检查他们的个人电子邮件帐户或社交媒体账户,因为它比转换为更快个人设备。

incydr. 允许公司区分私人账户的无害使用(例如,用户发送/上传个人照片)和恶意使用(例如,用户尝试与它们一起使用的公司数据)。

审核Code42 Incydr.

图2。–由文件事件排序的离开员工镜头

让我们探索Incydr收集的数据的宽度。在上面的例子中,用户(Sean)–谁是工程团队的一部分处理敏感的知识产权,并接受了竞争对手的职位–在过去90天内一直负责962个文件事件。仔细看看肯定有必要。

用户配置文件显示四个广泛类别:

  • 目的地文件活动
  • 文件类别组文件活动
  • 端点文件活动
  • 云文件活动

审核Code42 Incydr.

图3。– The user profile

从以上,很明显,Incydr检测到许多云提供商的连接,并识别不同类型的文件,以及检测不同类型的端点和云文件活动。

您可以进一步探索每一个事件或调查最后90天的低谷法证搜索,但现在让我们进入Incydr早期访问功能之一:“风险指标观察”。

审核Code42 Incydr.

图4。–将员工的用户简档重点关注“风险指标”

虽然在表面肖斯可能似乎引导了正常的企业生活,但他一直在忙着重命名一些档案文件来使其看起来像是假期照片并通过Chrome浏览器将它们上传到Dropbox(公司使用Google Drive):

审核Code42 Incydr.

图5。– Risk indicators

incydr在读取文件标题后发现并标记“文件不匹配”,并“查看”文件是存档文件但具有与图像相关的扩展名。

是否有一种合理的原因,使ZIP文件看起来像PNG文件?我无法真正想到一个。在这种情况下,这个指标应该足以触发公司人力资源和法律人员的访问/呼叫肖恩。

在此请注意,在监视期间,所有文件都以唯一的AES256用户密钥散列并加密,因此实际文件只能以其原始格式访问,仅在于Incydr委托访问的安全管理员类型的人员和用户自己(如果他们需要它备份或恢复目的)。

审核Code42 Incydr.

图6。–通过文件事件排序的高风险员工镜头

高风险员工镜头类似于离开员工镜头,但有一个额外的类别:“风险因素”。这些都是:

  • 高影响员工 - 例如,工程系的VP
  • 高程访问权限 - 例如,系统管理员
  • 表现问题 - 例如,员工已被置于绩效改进计划
  • 飞行风险 - 例如,员工符合促销,但没有完全满意
  • 可疑系统活动 - 例如,员工以前是网络钓鱼攻击的受害者
  • 签约员工

与员工相关的风险因素数量越大,Incydr的审查的“重量”越大,该具体员工将是。

在这个假设的情景中,让我们看看与公司的销售账户执行董事会为Kathy Kane观察的风险指标,他是高风险,高级职位,并在人力资源部门注意到在线时被标记为“飞行风险”活动。

审核Code42 Incydr.

图7。–高风险员工用户简档,重点是“观察到的风险指标”

审核Code42 Incydr.

图8。– Risk indicators

让我们来看看一个风险指标:报告/警报被同事的“关闭时间”活动触发,这些事件发生在公司分配的设备(包括网络信息),它涉及使用个人凭据将数据同步到云服务。

您能认为将客户的主服务协议上传到其个人云存储帐户的合法原因吗?我也不能再次,这是人力资源和法律人员可能会涉及的地方。

法医搜索

您以前看到的报告(通过两个员工镜头显示)是由法医搜索自动生成的,但是根据镜头提供的标准创建。

法医搜索允许您通过应用大约50个不同的过滤器(部分显示在以下屏幕截图)上查询Incydr数据库:

审核Code42 Incydr.

图9。– Forensic Search

但即使通过所有的AI和ML的权力,人类投入/判断是不可替代的,所以有时你需要一个人类击败人类逻辑。

incydr. 如何不同?

类似的数据风险检测产品可能表明Web浏览器访问了文件,但它们不会告诉您文件实际发送/上传的位置。

例如,Incydr能够通过Web浏览器实际上已将文件上载到Github存储库,并且目的地是源代码存储库’S用于生产环境。

在另一个例子中,Incydr能够通过Web浏览器向您核开用户向社交媒体帐户(例如,Reddit)上传了一系列内容。安全团队看到文件最终的文件,可以检查其中的文件。

结论

许可包从500个用户开始,意思是Incydr非常适合更大的公司实体,因为他们的端点边界由员工运营的数千(如果不是数以万计)的设备组成,其中大多数现在正在家里工作,可能会做出他们否则的事情不会从办公室做。

我相信大多数系统管理员和IT经理都喜欢这个产品,但有些员工可能会提出关于“间谍”和“监视”的反对意见。后一种反对意见可能是通过符合GDPR兼容的,并完全符合德国隐私法,这甚至比欧盟法律更严格。

为了掌握员工“我们正在讨论”的备注,公司需要一套明确的定义程序,角色和权限,因为公司中内部的技术,支持甚至法律角色都可以使用。

我一直是解决一件事并做得好的解决方案的支持者,我发现Incydr正是这样。它检测用户在用户端点上的数据操作和exfiltration,并且可能是保持公司员工诚实的有效方法。

分享这个