NWU презентує інновації Exabeam для SecOps

Компанія NWU, офіційний дистриб'ютор Exabeam в Україні, провела спеціалізований вебінар, присвячений сучасним підходам до виявлення та реагування на інциденти кібербезпеки. Основну увагу було приділено новій хмарній платформі Exabeam, яка поєднує в собі рішення класу SIEM, аналітику UEBA, автоматизовані процеси TDIR і можливості SOAR.

Микола Сьомакін, інженер з продажів NWU почав свою презентацію з опису ключових векторів розвитку Exabeam за останні роки. Він зазначив, що ще до широкого поширення технологій штучного інтелекту компанія впровадила відповідні інструменти в аналітику кіберзагроз. Наразі Exabeam є одним з лідерів у галузі, маючи понад 75 патентів, зокрема у сфері AI та машинного навчання. Зараз вендор обслуговує понад 3000 клієнтів у 22 країнах світу та протягом 14 років утримує позицію лідера у квадранті Gartner.

З погляду інновацій, Exabeam почала впроваджувати штучний інтелект та машинне навчання ще у 2015-2016 роках, задовго до того, як це стало мейнстримом. У 2017 році компанія зосередилася на наданні великих обсягів даних для обробки машинного навчання, а у 2018 році вона впровадила власний дата-лейк, щоб зменшити залежність від інших SIEM-систем. У 2019 році компанія Exabeam першою перейшла на хмарну платформу, передбачаючи тенденції у сфері кібербезпеки на наступні роки. Розвиток хмарної платформи зробив її багатокористувацькою, що дозволило надавати послуги MSSP (Managed Security Service Provider), а підходи до безпеки були змінені з орієнтацією на результат, а не на просту обробку даних. У цьому році Exabeam представила нову платформу з новим рушієм детектування, що включає мультиагентний штучний інтелект, та платформу для розробників, яка дозволяє автоматизувати процеси більш ефективно та швидко.

Особливу увагу у доповіді було приділено хмарній архітектурі Exabeam, яка базується на інфраструктурі Google Cloud. Завдяки цьому платформа здатна працювати з великим обсягом даних, забезпечуючи їх безперебійну обробку, масштабованість і високу доступність. Кожен клієнт отримує ізольоване середовище, що відповідає високим вимогам до конфіденційності.

Микола Сьомакін підкреслив, що нова платформа Exabeam орієнтована на повну автоматизацію процесів виявлення, розслідування та реагування на інциденти. Центральною інновацією стала мультиагентна модель штучного інтелекту - Nova. Вона складається з кількох віртуальних агентів, кожен з яких виконує специфічні функції: аналізує загрози, допомагає з пошуком, формує рекомендації, проводить розслідування та візуалізує інциденти. Усе це відбувається за запитами природною мовою, що спрощує взаємодію для аналітиків будь-якого рівня.

Ще однією визначною характеристикою Exabeam є підтримка стандартизованої інформаційної моделі. Платформа автоматично нормалізує потік подій з різних джерел - журналів, брандмауерів, робочих станцій тощо - і перетворює їх на єдину структуру. Це дозволяє зменшити кількість хибнопозитивних спрацювань, прискорити пошук і спростити створення аналітичних запитів.

Слід зазначити, що Exabeam впровадив мультиагентну архітектуру штучного інтелекту для покращення досвіду роботи з системою безпеки. Ці агенти допомагають на різних етапах роботи з подіями безпеки:
    • Агент оцінки загроз: Оцінює рівень небезпеки події.
    • Агент пошуку: Покращує досвід пошуку у великому обсязі даних.
    • Агент-радник: Рекомендує системи для додавання, корисні та некорисні журнали, а також оцінює їхнє використання.
    • Агент-розслідувальник: Дозволяє провести більш детальне розслідування події, аналізувати її за допомогою аналітики агента та створювати візуалізації з підказками штучного інтелекту.

На вебінарі було продемонстровано модулі поведінкової аналітики (UEBA). За словами спікера, Exabeam має найбільшу на ринку кількість вбудованих поведінкових моделей, завдяки цьому система ідентифікує як зовнішні загрози, так і потенційно небезпечні дії всередині організації - від нестандартної активності користувача до компрометації облікових записів.

Платформа Exabeam базується на чотирьох основних принципах.

Поглинання даних: Збір даних з різних систем, як хмарних, так і локальних (фаєрволи, мережева безпека, DLP-системи, SIEM-системи). Exabeam має понад 9500 вбудованих синтаксичних аналізаторів (парсерів), що усуває необхідність додаткового написання коду. Зібрана інформація розвідується, збагачується та отримує контекст для подальшого детектування загроз.

Виявлення загроз: Після збору, збагачення та перетворення даних до стандартної моделі, відбувається процес виявлення загроз. Для цього використовується поведінкова UEBA-система з максимальною на ринку кількістю поведінкових моделей (750) для аналізу поведінки користувачів та сутностей. Також є понад 1800 кореляційних правил, що працюють "з коробки", які виявляють загрози, розставляють пріоритети, оцінюють ризики та корелюють події.

Розслідування: Розслідування є легким завдяки наявності AI-копілота, який допомагає описати події, а також хронології подій (поведінкової та кореляційної аналітики), зібраних в одному місці. Можливість створення звітів та дашбордів для кращого розуміння ситуації.

Реагування: Для реагування на виявлені загрози використовується інструмент SOAR, що дозволяє автоматизувати задачі за допомогою плейбуків або інтеграції зі сторонніми системами. Можливості включають блокування IP-адрес, скидання паролів, створення кейсів, задач у Jira та будь-яку іншу автоматизацію через скрипти або API-запити.

Учасники заходу також мали змогу ознайомитися з підходами до оцінки ризиків. Платформа Exabeam автоматично аналізує не лише факт події, а і її рідкісність, вплив на критичні об'єкти, роль користувача, що бере участь у події. Це дозволяє надавати кожному кейсу оцінку ризику за шкалою від 1 до 100, що значно полегшує пріоритизацію інцидентів.

Дослідження Exabeam показали, що автоматизація ручних процесів може заощадити до 80% зусиль на розслідування інцидентів. Окремо було показано роботу конструктора плейбуків. Він дозволяє автоматизувати сценарії реагування без знання програмування. Аналітик може просто обрати логічну послідовність дій: наприклад, після виявлення аномальної активності - запустити перевірку файлу в VirusTotal, заблокувати обліковий запис або передати випадок на аналіз старшому фахівцю. Вбудована система тестування дозволяє перевірити плейбук до його впровадження.

У рамках демонстрації Микола Сьомакін показав, як формується випадок у системі: як події групуються, як нові виявлення автоматично додаються до наявного інциденту, як система формує таймлайн, пояснення причин, вектори атаки та наступні дії. Окремо продемонстровано асистента Copilot, який у форматі живого діалогу допомагає аналізувати ситуацію, перекладати англомовні повідомлення українською, а також пропонує наступні кроки.

У підсумку доповідач зазначив, що Exabeam - це не лише SIEM, а повноцінна аналітична екосистема, яка дозволяє почати роботу з аналітикою без складної інтеграції і значно скоротити час реагування на інциденти. При цьому зменшити навантаження на команди SecOps та використовувати моделі AI, що враховують локальний контекст організації.

SIEM від Exabeam, навіть без окремого аналітичного модуля, включає можливості кореляції для часткової поведінкової аналітики на базі відповідних правил. Система також містить Outcomе Navigator, який показує, наскільки добре закриті тактики та техніки зловмисників.
Важливо відзначити, що New Scale Analytics не збирає та не зберігає історичні дані, не є дата-лейком і не містить повноцінного модуля звітів та візуалізацій, оскільки цим займається або стороння SIEM-система, або New Scale SIEM від Exabeam.

Клієнт може обрати окремий аналітичний модуль New Scale Analytics для підключення до наявної SIEM-системи або ж перейти на повноцінне рішення Exabeam Fusion, що містить як SIEM, так і UEBA та SOAR. Усі продукти ліцензуються за моделлю підписки на 3-5 років — відповідно до обсягу щоденних даних та терміну зберігання.

Микола Сьомакін зазначив у підсумку своєї доповіді, що платформа Exabeam може бути надана для тестування, а команда NWU готова надати демонстраційний доступ, провести навчання і допомогти з пілотним впровадженням у реальному середовищі. “Exabeam стає стратегічним інструментом для українських компаній, які прагнуть побудувати ефективну систему кіберзахисту із сучасною автоматизацією та підтримкою аналітики на основі штучного інтелекту”, зазначив він.