A tradicionális végpontvédelmi és adatvédelmi megoldások alapvetően izolált, szabályalapú kontrollokra épültek. A klasszikus antivírus rendszerek végponti agenteken keresztül működtek, és ismert minták alapján detektáltak. Idővel ezek a megoldások kiegészültek további rétegekkel, például hálózati forgalomelemzéssel, e-mail-védelemmel és sandboxing-képességekkel.
Hasonló módon az adatszivárgás elleni védelmi rendszerek (DLP) megközelítése is a végpontokon indult, majd fokozatosan kiterjedt a hálózatra, a levelezésre és az adattárolók vizsgálatára stb. A lefedettség így több dimenzióra bővült, de a működés továbbra is esemény- és szabályközpontú maradt, nem értelmezte a viselkedési mintázatokat.
Így működik a viselkedésalapú védelem
A következő lépést az jelentette, amikor a fókusz az eseményekről az entitások viselkedésére helyeződött át, és megjelent az UEBA. Ez a szemlélet beépült a SIEM rendszerekbe, majd ezek továbbfejlődésével az XDR irányba mozdult el.
Az XDR-modellben a végponti telemetria, az identity- és IAM-rendszerek eseményei, a hálózati aktivitás, valamint az alkalmazások és adattárolók használata egy közös analitikai térben kerül feldolgozásra. Ebben a környezetben a viselkedés nem egyetlen eseményhez, hanem eseményláncokhoz kötődik. Ilyen például egy szokatlan bejelentkezés, egy új eszköz használata, vagy egy érzékeny adattároló elérése. Ezek ugyan külön-külön alacsony kockázatúak lehetnek, de együtt már egy olyan mintázatot alkotnak, amely kockázatot jelez. Egy másik esetben, ha egy felhasználó rövid idő alatt több, korábban nem használt rendszerhez fér hozzá, majd adatokat kezd mozgatni, ez már viselkedési eltérésként jelenik meg. Az XDR ezt a mintázatot képes összekapcsolni, és entitás szinten értékelni. A hangsúly itt az analitikán, a korreláción és a vizsgálhatóságon van.
SSE, a valós idejű kontroll
Ezzel párhuzamosan kialakult az SSE megközelítés, amely nem az utólagos elemzésre, hanem a valós idejű kontrollra épít. Itt a felhasználói forgalom egy köztes alkalmazásrétegben elhelyezett tartalomszűrő rétegen halad át, és a rendszer folyamatosan értékeli a viselkedést. Ennek eredménye pedig közvetlenül befolyásolja, hogy egy felhasználó mit tehet meg, ezért a rendszer valós időben eldönti, hogy egy műveletet engedélyez, korlátoz vagy letilt.
Ebben a megközelítésben kiemelt szerepet kap az alkalmazásréteg. A rendszer folyamatosan feltérképezi, hogy milyen alkalmazások vannak használatban, és ezek hogyan illeszkednek a szervezet működéséhez. Ez egy “application inventory” nézőpontot hoz létre, ahol nemcsak az ismert alkalmazások jelennek meg, hanem az is, hogy a felhasználók és az általuk mozgatott adatok hogyan viselkednek bennük.
Ha például egy felhasználó egy korábban nem használt felhőalkalmazásba kezd adatokat feltölteni, vagy egy megszokott SaaS-környezetben szokatlan módon exportál adatokat, a rendszer ezt azonnal anomáliaként értelmezi. Ilyenkor a hozzáférés dinamikusan módosítható, például csak bizonyos műveletek engedélyezettek, vagy az adatmozgás teljesen blokkolható. A viselkedés itt közvetlenül alakítja a kontrollt, az nem csak egy későbbi vizsgálat kimenete.
A DSPM megjelenése
Az XDR és SSE irány mellett ezzel párhuzamosan jelent meg egy harmadik megoldás is, amely az adat szempontjából közelíti meg a problémát. A felhős alkalmazások elterjedésével a klasszikus DLP funkcionalitás kiterjedt a felhős rétegbe, ahol már nemcsak a mozgásban lévő adat, hanem a tárolt adatok és azok hozzáférési struktúrája is láthatóvá vált. Ebből a fejlődési ívből alakult ki a DSPM.
A DSPM kiindulópontja maga az adat. A rendszer feltérképezi, hogy hol találhatók érzékeny információk, milyen adattárolókban, milyen jogosultsági struktúrával, és kik férnek hozzájuk. Ez nemcsak egy statikus leltár, hanem folyamatosan frissülő kép az adatállapotról és a hozzáférési mintákról.
Egy tipikus helyzet, amikor egy felhős adattároló túl széles körben elérhetővé válik, és több felhasználó is hozzáfér olyan adatokhoz, amelyek nem tartoznak a szerepköréhez. Egy eseményalapú rendszer ezt csak akkor érzékeli, ha konkrét aktivitás történik, míg a DSPM már előre jelzi a kockázatot azáltal, hogy feltárja a túlzott jogosultságokat és az adat elhelyezkedését. Ha ehhez később viselkedési eltérés társul az identitás által, például szokatlan mennyiségű adat olvasása vagy másolása, akkor a két információ együtt egy sokkal pontosabb kockázati képet ad.
Ebben a modellben a UEBA kiegészül egy adatközpontú nézőponttal. Nemcsak az számít, hogy ki mit csinál, hanem az is, hogy milyen adatot érint az adott művelet, és az milyen érzékenységi szintet képvisel.
A különböző megközelítések így eltérő fókusz mentén épülnek fel. A SIEM és XDR a viselkedések és események közötti összefüggéseket elemzi, a DSPM az adat, a hozzáférés és a viselkedés kapcsolatán keresztül határozza meg a kockázatot míg az SSE ezt a viselkedést valós időben használja fel a kontrollhoz.
Összefoglalás
A kiberbiztonság fejlődése a merev, ágensalapú kontrolloktól a holisztikus, entitásközpontú szemlélet felé halad. Míg a korábbi rendszerek izolált eseményeket figyeltek, a modern XDR már eseményláncokat és viselkedési mintázatokat elemez közös analitikai térben. Az SSE megoldások ezt valós idejű kontrollal egészítik ki, azonnal korlátozva a gyanús műveleteket. A DSPM pedig az adatok felől közelít: feltérképezi az érzékeny információkat és a jogosultságokat, megelőzve a kockázatokat.
Gyakran ismételt kérdések:
A hagyományos antivírus ismert minták és izolált végponti események alapján blokkol, míg az XDR több forrásból (hálózat, identitás, felhő) származó telemetriát kapcsol össze, hogy komplex viselkedési mintázatokat és eseményláncokat azonosítson.
Az SSE egy köztes tartalomszűrő rétegként működik a felhasználó és az alkalmazás között. Folyamatosan elemzi a tevékenységet, és ha anomáliát észlel (pl. szokatlan adatfeltöltés), azonnal képes korlátozni vagy tiltani a hozzáférést.
A klasszikus DLP elsősorban a mozgásban lévő adatokra és szabályokra fókuszál. A DSPM viszont magát az adatot teszi a középpontba: feltérképezi az összes tárolt érzékeny adatot, a hozzájuk tartozó jogosultságokat és a kitettséget, még azelőtt, hogy incidens történne.
A UEBA lehetővé teszi, hogy a rendszer ne csak „igen/nem” szabályok mentén döntsön, hanem értelmezze a felhasználók szokásait. Így kiszűrhetők az olyan gyanús tevékenységek is, amelyek önmagukban legálisnak tűnnek, de sorozatban már támadásra utalnak.
Míg az XDR az elemzésért és a visszakereshetőségért felel, az SSE a valós idejű beavatkozást biztosítja a forgalomban, a DSPM pedig az adatok kockázati szintjét és környezetét határozza meg, így teremtve teljes körű védelmet.