评论:Code42 Incydr –SaaS数据风险检测和响应

Incydr 是Code42的新SaaS数据风险检测和响应解决方案,它使安全团队能够减轻文件暴露和泄露风险,而又不会破坏合法的协作。

Code42 重点关注与大规模“在家工作”轮班相关的问题,即,全球企业内部使用了许多不同的协作工具。这些工具可以使人们更有效地进行协作,但也可以共享敏感的公司数据。不幸的是,传统的安全工具无法最小化(或消除)内部人员使用该功能进行恶意攻击的风险。

Incydr 做什么?

Incydr 密切关注整个公司发生的所有与文件相关的事件’的环境,并缩短了检测和响应内部威胁造成的数据风险所需的时间。

它通过(Windows,macOS和Linux)端点代理执行此操作,该端点代理检测文件的创建,修改,删除,共享等。集中收集相关数据,并根据数据风险的多个方面对其进行分类:文件信息,矢量信息(有关移动位置,时间和方式的信息)以及用户信息。

Incydr 尝试针对每个维度调查并保留尽可能多的元数据:

  • 档案尺寸: 监视所有文件,将元数据保留为文件名,所有者,大小,路径,哈希等。
  • 向量尺寸: Web浏览器(域名,活动浏览器标题URL等),云同步(Google,Microsoft,Dropbox等),文件共享(FTP,curl等),可移动媒体(供应商,型号,卷名和大小) ,序列号,部件ID)等
  • 用户维度: 识别行为模式(远程活动,下班时间的文件事件,隐藏的渗透尝试),更加关注监视具有较高风险因素的用户(第三方承包商或离职员工),最多保持90天的用户活动等。

Incydr 引擎使用人工智能(AI)和机器学习(ML)来获取问题的答案,例如“此用户通常在什么时候工作?”或“用户过去是否访问过这些文件,或者这是第一次访问,’被发送到他们的个人Gmail?”

Incydr 提供了与各种系统集成的支持:Gmail DLP,Office365 DLP,HR系统,Jira问题跟踪系统以及几乎任何身份服务(即LDAP,SAML)。

与Incydr合作

Incydr 提供了一个简单的界面,分为两个主要类别:检测和调查(取证搜索)。默认视图是(检测)风险暴露板,其中最重要的信息被分组并显示。风险暴露仪表板提供了几个活动方面/镜头的概述:

评论Code42  Incydr

图1。–风险暴露仪表板

“离职员工”镜头显示了用户的最新高风险文件相关活动,这些活动要么告诉公司他们要离开公司,要么被公司告知他们正在放手。

大多数用户离开公司后都会随身携带数据。即使为他们提供了公司的计算机,并指示他们不要将其用于个人用途,但大多数(如果不是全部)员工有时仍会使用它来检查其个人电子邮件帐户或社交媒体帐户,原因仅在于它比切换到计算机更快捷。个人设备。

Incydr 允许公司区分私人帐户的无害使用(例如,用户发送/上传个人照片)和恶意使用(例如,用户试图在离开时随身携带公司数据)之间的区别。

评论Code42  Incydr

图2。–离职员工镜头按文件事件排序

让我们探索由Incydr收集的数据的宽度。在上面的示例中,用户(Sean)–他是负责敏感知识产权的工程团队的一员,并已接受竞争对手的职位–在过去90天内负责962个文件事件。绝对值得仔细研究。

用户个人资料显示了四大类:

  • 按目的地的文件活动
  • 按文件类别组的文件活动
  • 端点文件活动
  • 云文件活动

评论Code42  Incydr

图3。– 用户资料

从上面可以明显看出,Incydr检测到了许多云提供商的连接并识别了不同类型的文件,并检测了不同类型的端点和云文件活动。

您可以进一步浏览每个事件,也可以通过取证搜索调查过去90天的内容,但现在让我们深入研究Incydr的早期访问功能之一:“观察到的风险指标”。

评论Code42  Incydr

图4。–离职员工用户资料,重点是“观察到的风险指标”

虽然表面上Sean似乎过着正常的公司生活,但他一直在忙于重命名一些存档文件,使它们看起来像是度假照片,然后通过Chrome浏览器将其上传到Dropbox(该公司使用Google云端硬盘):

评论Code42  Incydr

图5。– 风险指标

在读取文件标题并“看到”该文件是存档文件但具有与图像相关的扩展名之后,Incydr发现并标记了“文件不匹配”。

是否有合理的理由使ZIP文件看起来像PNG文件?我真的想不到一个。在这种情况下,该指标应足以触发公司人力资源和法律人员对Sean的拜访/致电。

在此需要注意的是,在监视过程中,所有文件都是使用唯一的AES256用户密钥进行哈希处理和加密的,因此实际文件只能以原始格式访问,只有在Incydr中具有委派访问权限的安全管理员类型的人员以及用户自己可以访问(如果他们出于备份或还原目的需要它)。

评论Code42  Incydr

图6。–高风险员工镜头按文件事件排序

“高风险员工”透镜与“离职员工”透镜相似,但又增加了一个类别:“风险因素”。这些是:

  • 高影响力的员工 –例如,工程部副总裁
  • 提升的访问权限 –例如系统管理员
  • 性能问题 –例如,已将员工置于绩效改善计划中
  • 飞行风险 –例如,员工排队晋升,但不完全满意
  • 可疑系统活动 –例如,该员工以前曾是网络钓鱼攻击的受害者
  • 签约员工

与雇员相关的风险因素越多,Incydr对特定雇员进行审查的“权重”就越大。

在这种假设的情况下,让我们看一下为公司销售客户经理凯西·凯恩(Kathy Kane)观察到的风险指标,他是高风险,高级职位,在人事部门注意到某些在线事件后被标记为“飞行风险”。活动。

评论Code42  Incydr

图7。–高风险员工用户资料,重点放在“观察到的风险指标”

评论Code42  Incydr

图8。– 风险指标

让我们看一下风险指标之一:报告/警报是由公司分配的设备(包括网络信息)上发生的“非工作时间”事件触发的,该事件涉及将数据同步到具有个人凭据的云服务。

您能想到员工将客户的主服务协议上载到其个人云存储帐户的合理原因吗?我也不能。同样,人力资源和法律人员也可能会参与其中。

法医搜索

您之前看到的报告(通过两个员工镜头显示)是由取证搜索自动生成的,但是根据镜头提供的条件创建的。

通过取证搜索,您可以通过应用大约50个不同的过滤器来查询Incydr数据库(部分显示在以下屏幕截图中):

评论Code42  Incydr

图9。– 法医搜索

但是,即使拥有全部的AI和ML功能,总会存在无法替代人工输入/判断的情况,因为有时您需要人工来击败人工逻辑。

Incydr 有何不同?

类似的数据风险检测产品可能表明网络浏览器已访问文件,但它们不会告诉您文件的实际发送/上传位置。

例如,Incydr可以告诉您文件实际上已经通过Web浏览器上传到GitHub存储库,并且目的地是源代码存储库,因为它’在生产环境中使用。

在另一个示例中,Incydr可以告诉您用户已通过网络浏览器将一堆东西上传到社交媒体帐户(例如Reddit)。安全团队可以查看文件的末尾位置,并可以检查文件所在的位置。

结论

许可包开始于500个用户,这意味着Incydr非常适合大型企业实体,因为它们的端点边界由数千个(如果不是数万个)员工操作的设备组成,其中大多数现在可以在家工作,并且可能会做其他事情不会在办公室做的。

我敢肯定,大多数系统管理员和IT经理都会喜欢此产品,但有些员工可能会对“间谍”和“监视”提出异议。可以通过Incydr符合GDPR并完全遵守比欧盟法律更严格的德国隐私法来反驳后一个反对意见。

为了抵制员工“被我们监视”的言论,公司需要一套明确定义的程序,角色和权限,因为公司内部的技术,支持甚至法律角色的人员都可以使用Incydr。

我一直支持能做一件事并且做得很好的解决方案,而我发现Incydr就是那样。它可以检测用户在终结点计算机上的数据操纵和渗漏,这可能是使公司员工保持诚实的有效方法。

分享这个