Zaten bir SIEM’im olduğunda neden Gölge BT için bir CASB’ye ihtiyacım var?
Yeni Nesil Güvenlik Duvarı / Web Proxy’sine sahip olduğumuzda ve bir Güvenlik Bilgisi ve Olay Yönetimi (SIEM) çözümündeki tüm günlüklere sahip olduğumda neden kuruluşumun bir Gölge BT çözümüne sahip olması gerekiyor?
Bu, müşterilerimiz tarafından sıkça sorulan bir sorudur. Yanıt, MVISION Cloud CASB kuruluşların bir SIEM’deki sorgu yoluyla veya Yeni Nesil Güvenlik Duvarı (NGFW) / Güvenli Web Ağ Geçidi (SWG) araçlarıyla görünmeyen Gölge BT kullanımını ortaya çıkarmasına izin vermesidir. NGFW ve Web Proxies genellikle web hizmetlerini bir kategori ve itibar puanı kullanarak kataloglar. Bu nedenle, mail.ru gibi bir Rus e-posta hizmeti, “Güvenilir” itibarıyla “Web tabanlı E-posta” olarak sınıflandırılır. NGFW / SWG’den web itibar puanının tipik bir çıktısı aşağıda gösterilmiştir.
Size söylemediği şey, mail.ru’nun Rusya’da barındırıldığı, kullanıcı verilerini beklemede şifrelemediği ve bunun Darknet’e sızıntı kaynağı olduğu. Güvenlik bilincine sahip bir kuruluşun çalışanlarının işte kullanmasını isteyeceği türden bir site değildir.
Bulut hizmeti değerlendirmesindeki bu tutarsızlığın nedeni, NGFW / SWG ürünlerinin öncelikle bir bulut hizmetlerine geleneksel siber güvenlik perspektifinden bakmasıdır: Site spam, web saldırıları, kötü amaçlı yazılımlar vb. İçin bir kaynak mıdır? MVISION Cloud CASB orada başlar ve bulut hizmeti iş riskine de bakar. MVISION Cloud, her bulut hizmetine, 46 kontrol noktasının değerlendirmesine dayanan ve 240’tan fazla risk özelliğini kapsayan bir risk puanı sağlar. Ayrıca, McAfee MVISION Cloud, her ay kayıt defterine yaklaşık 100 yeni hizmet eklenerek 26.000’den fazla bulut hizmetinin ayrıntılı bir kaydını tutar. Karşılaştırma için, önde gelen bir NGFW satıcısının kaydının şu anda 3.000’den biraz fazla servisi var. İyi haber, MVISION Cloud tarafından keşfedilen Gölge BT verilerinin, bir kullanıcının mevcut güvenlik yığını tarafından kullanıcı erişimini engellemek veya bir hizmet içindeki kullanıcı etkinliği kapsamını sınırlamak için kullanılabileceğidir. Bu hizmet MVISION Cloud’da şu şekilde sıralanır:
McAfee sıklıkla şu soruyu soruyor: Gölge BT bulguları bir SIEM’de depolanan web trafik günlüğü verilerine dayanıyorsa, neden bir kuruluşun Gölge kullanımı hakkında doğrudan bir SIEM konsolundan bilgi bulamıyorum? Bunun ana nedeni, bir SOC analistinin ne bilmediğini bilmemesidir. “ABD dışında barındırılan ve kuruluşun ağında kullanılan tüm PDF dönüştürücülerini göster” sorusu sorulursa, bir SOC analisti nerede başlıyor, ne arıyor?
Daha kolay olan yol McAfee MVISION Cloud CASB kullanmak ve MVISION Cloud Registry’de “Belge Dönüştürme” hizmetleri aramak ve hangi onaylanmamış PDF dönüştürücülerin “kullanımda” olduğunu görmek. SOC analisti daha sonra şüpheli hizmetler hakkındaki MVISION Cloud Registry verilerini API yoluyla doğrudan bir SIEM’e gönderebilir. Bu veriler artık SOC analisti tarafından daha ileri analizler için SIEM aracı içinde arama yapmak için kullanılabilir.
MVISION Cloud’un geleneksel bir SIEM’i daha “buluta duyarlı” hale getirdiği bir başka senaryo, karmaşık hizmetler için URL alanını günlüğe kaydetmektir. Örneğin, bir SOC analisti Netflix’i engellemek istiyor ve tüm * .netflix.com URL’lerini engellemek için bir kural oluşturuyorsa, Netflix’in gerçekten engellenmediğini ve kullanıcıların içeriğe hala erişebildiğini görünce şaşıracaktır. Bunun nedeni, çoğu NGFW / SWG ürününün bir bulut hizmetine ulaşmanın sadece birkaç yolunu bilmesidir. MVISION Cloud, kitle kaynak bulma yaklaşımı sayesinde bir bulut hizmetine ulaşmanın 100’lü yolunu biliyor ve URL’ler değiştikçe bunları güncelliyor. Netflix örneğine geri dönersek, aşağıda MVISION Cloud konsolundan video akışı hizmetiyle ilişkili diğer URL’lerden bazılarını gösteren bir ekran görüntüsü yer almaktadır.
Bir SOC analisti bir SIEM konsolunda * .netflix.com ararsa, tüm Netflix etkinliğinin yalnızca kısmi bir görünümünü alır. SOC analisti, kuruluşun ağındaki Netflix hizmetinin tam bir görünümünü elde etmek için * .nflxvideo.net alanlarını ve diğer geçici URL dizelerini bulmak için MVISION Cloud’a ihtiyaç duyacaktır. Sonuç olarak, MVISION Cloud for Shadow IT bir kuruluşun SIEM yeteneğine ücretsiz bir araç olarak kullanılmalıdır. Bu simbiyotik bir ilişki. Bir kuruluşun SIEM’si, MVISION Cloud için Gölge BT verilerinin kaynağıdır, ancak SIEM aracı bulutunu bilinçlendiren MVISION Cloud’dur.