评论:Code42 Incydr – SaaS 数据风险检测和响应

因塞德 是 Code42 的新 SaaS 数据风险检测和响应解决方案,它使安全团队能够在不中断合法协作的情况下降低文件暴露和泄露风险。

Code42 重点关注与大规模“在家工作”转变相关的问题,即全球企业中正在使用许多不同的协作工具。虽然这些工具使人们能够更有效地协作,但它们也允许他们共享敏感的公司数据。不幸的是,传统的安全工具无法最小化(或消除)内部人员利用该功能进行恶意活动的风险。

因塞德 是做什么的?

因塞德 密切关注公司环境中发生的所有与文件相关的事件,并缩短检测和响应内部威胁造成的数据风险所需的时间。

它通过(Windows、macOS 和 Linux)端点代理来实现,这些代理检测文件的创建、修改、删除、共享等。相关数据被集中收集并根据数据风险的几个维度进行分类:文件信息、矢量信息(有关其移动地点、时间和方式的信息)和用户信息。

因塞德 尝试为每个维度调查和保留尽可能多的元数据:

  • 文件尺寸: 监控所有文件,将元数据保存为文件名、所有者、大小、路径、哈希等。
  • 向量维度: Web 浏览器(域名、活动浏览器标题 URL 等)、云同步(Google、Microsoft、Dropbox 等)、文件共享(FTP、curl 等)、可移动媒体(供应商、型号、卷名和大小) 、序列号、部件 ID)等
  • 用户维度: 识别行为模式(远程活动、下班时间文件事件、隐蔽泄露的尝试),额外关注监控具有较高风险因素的用户(第三方承包商或离职员工),保持长达 90 天的用户活动等.

因塞德 引擎使用人工智能 (AI) 和机器学习 (ML) 来获得诸如“该用户通常什么时候工作?”等问题的答案。或者“用户过去是否访问过这些文件,还是第一次访问这些文件,并且这些文件被发送到他们的个人 Gmail?”

因塞德 支持与各种系统集成:Gmail DLP、Office365 DLP、HR 系统、Jira 问题跟踪系统以及几乎任何身份服务(即 LDAP、SAML)。

与 Incydr 合作

因塞德 提供了一个简单的界面,分为两个主要类别:检测和调查(取证搜索)。默认视图是 (DETECTION) 风险暴露板,其中最重要的信息被分组和呈现。风险暴露仪表板提供了几个活动方面/镜头的概述:

审查 Code42 Incydr

图 1. – 风险暴露仪表板

“离职员工”镜头显示了用户最近的与文件相关的风险活动,这些用户要么告诉公司他们要离职,要么被公司告知他们将被解雇。

大多数用户在离开公司时都会随身携带数据。即使他们得到了公司电脑并指示他们不要将其用于个人用途,但大多数(如果不是全部)员工有时会使用它来检查他们的个人电子邮件帐户或社交媒体帐户,因为它比切换到个人设备。

因塞德 允许公司区分私人帐户的无害使用(例如,用户发送/上传个人照片)和恶意使用(例如,用户在离开时试图带走公司数据)。

审查 Code42 Incydr

图 2. – 按文件事件排序的离职员工镜头

让我们探索一下 Incydr 收集的数据的宽度。在上面的示例中,用户 (Sean) - 他是处理敏感知识产权的工程团队的一员,并已接受竞争对手的职位 - 在过去 90 天内负责了 962 次文件事件。仔细观察肯定是有必要的。

用户配置文件显示了四大类:

  • 按目的地的文件活动
  • 按文件类别组划分的文件活动
  • 端点文件活动
  • 云文件活动

审查 Code42 Incydr

图 3. – 用户配置文件

从上面可以看出,Incydr 检测到许多云提供商的连接并识别不同类型的文件,以及检测不同类型的端点和云文件活动。

您可以通过取证搜索进一步探索每个事件或调查过去 90 天,但现在让我们深入研究 Incydr 的早期访问功能之一:“观察到的风险指标”。

审查 Code42 Incydr

图 4. – 离职员工用户档案,重点是“观察到的风险指标”

虽然表面上肖恩似乎过着正常的公司生活,但他一直忙于重命名一些存档文件,使其看起来像是度假照片,并通过 Chrome 浏览器将它们上传到 Dropbox(该公司使用 Google Drive):

审查 Code42 Incydr

图 5. – 风险指标

因塞德 在读取文件头并“看到”该文件是存档文件但具有与图像相关的扩展名后发现并标记“文件不匹配”。

使 ZIP 文件看起来像 PNG 文件是否有正当理由?我真的想不出一个。在这种情况下,该指标应该足以触发公司 HR 和法务人员对 Sean 的访问/呼叫。

值得一提的是,在监控过程中,所有文件都使用唯一的 AES256 用户密钥进行散列和加密,因此只有在 Incydr 中具有委派访问权限的安全管理员类型的人员和用户自己才能以原始格式访问实际文件(如果他们需要它用于备份或恢复目的)。

审查 Code42 Incydr

图 6. – 按文件事件排序的高风险员工镜头

高风险员工镜头类似于离职员工镜头,但有一个额外的类别:“风险因素”。这些是:

  • 高影响力员工 – 例如,工程部副总裁
  • 更高的访问权限 – 例如,系统管理员
  • 性能问题 – 例如,员工已被安排在绩效改进计划中
  • 飞行风险 – 例如,员工有资格获得晋升,但并不完全满意
  • 可疑的系统活动 – 例如,该员工之前曾是网络钓鱼攻击的受害者
  • 签约员工

与员工相关的风险因素越多,Incydr 对该特定员工的审查的“权重”就越大。

在这个假设场景中,让我们看一下为公司的销售客户主管 Kathy Kane 观察到的风险指标,她处于高风险的高级职位,在人力资源部门注意到某些在线情况后被标记为“飞行风险”活动。

审查 Code42 Incydr

图 7. – 强调“观察到的风险指标”的高风险员工用户档案

审查 Code42 Incydr

图 8. – 风险指标

让我们看看其中一个风险指标:报告/警报是由公司分配的设备(包括网络信息)上发生的“非工作时间”事件触发的,其中涉及使用个人凭据将数据同步到云服务。

您能想到员工将客户的主服务协议上传到其个人云存储帐户的正当理由吗?我也不能。同样,这是人力资源和法律人员可能会参与的地方。

取证搜索

您之前看到的报告(通过两个员工镜头显示)是由 Forensic Search 自动生成的,但是是根据镜头提供的标准创建的。

取证搜索 允许您通过应用大约 50 个不同的过滤器来查询 Incydr 数据库(部分显示在以下屏幕截图中):

审查 Code42 Incydr

图 9. – 取证搜索

但即使拥有所有 AI 和 ML 能力,总会存在人类输入/判断不可替代的情况,因为有时您需要人类来击败人类逻辑。

因塞德 有什么不同?

类似的数据风险检测产品可能会显示文件被网络浏览器访问,但它们不会告诉您文件实际发送/上传的位置。

例如,Incydr 能够告诉您一个文件实际上已通过 Web 浏览器上传到 GitHub 存储库,并且目标是源代码存储库,因为它在生产环境中使用。

在另一个示例中,Incydr 能够告诉您用户已通过网络浏览器将一大堆内容上传到社交媒体帐户(例如 Reddit)。安全团队可以查看文件的最终位置,并可以检查这些文件是哪些文件。

结论

许可包从 500 个用户开始,这意味着 Incydr 非常适合大型公司实体,因为它们的端点边界由员工操作的数千(如果不是数万)台设备组成,其中大多数现在在家工作,并且可能会做他们不做的事情不会在办公室做。

我相信大多数系统管理员和 IT 经理都会喜欢这个产品,但一些员工可能会对“间谍”和“监视”提出异议。 Incydr 符合 GDPR 并完全符合德国隐私法(甚至比欧盟法律更严格)这一事实可能会反驳后一种反对意见。

为了反驳员工“我们被监视”的言论,公司需要一套明确定义的程序、角色和权限,因为 Incydr 可能会被公司内部的技术、支持甚至法律角色使用。

我一直支持只做一件事并做好的解决方案,我发现 Incydr 正是如此。它检测用户对端点的数据操纵和泄露,这可能是保持公司员工诚实的有效方式。




分享这个