¿Por qué necesito un CASB para Shadow IT cuando ya tengo un SIEM?


¿Por qué mi organización necesita tener una solución Shadow IT cuando ya poseemos un proxy net / firewall de próxima generación y tenemos todos los registros en una solución de información de seguridad y gestión de eventos (SIEM)?

Esta es una pregunta que a menudo nos hacen nuestros clientes. La respuesta es que MVISION Cloud CASB permite a las organizaciones descubrir el uso de Shadow IT que no es obvious a través de una consulta en un SIEM o con las herramientas de firewall de próxima generación (NGFW) / Protected Website Gateway (SWG). NGFW y World wide web Proxies suelen catalogar servicios world-wide-web utilizando una categoría y un puntaje de reputación. Entonces, un servicio de correo electrónico ruso, como mail.ru, simplemente se clasificaría como «Correo electrónico basado en la Web» con reputación «Confiable». A continuación se muestra una salida típica de una puntuación de reputación website de NGFW / SWG.

Fuente: WebRoot BrightCloud Danger Intelligence

Lo que no te dice es que mail.ru está alojado en Rusia, que no encripta los datos del usuario en reposo y que es una fuente de filtraciones a Darknet. Definitivamente no es el tipo de sitio que una organización consciente de la seguridad querría que sus empleados usaran en el trabajo.

La razón de esta discrepancia en la evaluación del servicio en la nube es que los productos NGFW / SWG miran principalmente los servicios en la nube desde una perspectiva tradicional de seguridad cibernética: ¿Es el sitio una fuente de spam, ataques internet, malware, etc.? MVISION Cloud CASB comienza allí, y también analiza el servicio en la nube riesgo del negocio. MVISION Cloud proporciona a cada servicio en la nube un puntaje de riesgo basado en una evaluación de 46 puntos de handle, que cubre más de 240 atributos de riesgo. Además, McAfee MVISION Cloud mantiene un registro detallado de más de 26,000 servicios en la nube, con aproximadamente 100 nuevos servicios agregados al registro cada mes. A modo de comparación, el registro de un proveedor líder de NGFW actualmente tiene un poco más de 3.000 servicios. La buena noticia es que los datos de Shadow IT descubiertos por MVISION Cloud pueden ser consumidos por la pila de seguridad existente de una organización para bloquear el acceso del usuario o limitar el alcance de la actividad del usuario dentro de un servicio. Así es como este servicio se clasifica en MVISION Cloud:

A McAfee a menudo se le hace la siguiente pregunta: si los hallazgos de Shadow IT se basan en datos de registro de tráfico web almacenados en un SIEM, ¿por qué no puedo encontrar información sobre el uso de Shadow de una organización directamente desde una consola SIEM? La razón principal es que un SOC El analista no sabe lo que no sabe. Si se le pregunta «Muéstrame todos los convertidores de PDF alojados fuera de los EE. UU. Que se usan en la purple de la organización», ¿dónde comienza incluso un analista de SOC?

La ruta más fácil es utilizar McAfee MVISION Cloud CASB y buscar en el MVISION Cloud Registry servicios de «conversión de documentos» y ver qué convertidores PDF no autorizados están «en uso». El analista de SOC puede enviar los datos de MVISION Cloud Registry sobre los servicios sospechosos directamente a un SIEM a través de API. Estos datos ahora se pueden utilizar para realizar búsquedas dentro de la herramienta SIEM para su posterior análisis por parte del analista SOC.

Otro escenario en el que MVISION Cloud hace que un SIEM tradicional sea más «consciente de la nube» es registrar el espacio de URL para servicios complejos. Por ejemplo, si un analista de SOC quiere bloquear Netflix y crea una regla para bloquear todas las URL * .netflix.com, se sorprenderá al descubrir que Netflix es no realmente bloqueado, y los usuarios aún pueden acceder al contenido. La razón de esto es que la mayoría de los productos NGFW / SWG conocen solo un puñado de formas de llegar a un servicio en la nube. MVISION Cloud, a través de su enfoque de crowdsourcing, conoce cientos de formas de llegar a un servicio en la nube y las actualiza a medida que cambian las URL. Volviendo al ejemplo de Netflix, a continuación hay una captura de pantalla de la consola MVISION Cloud que muestra algunas de las otras URL asociadas con el servicio de transmisión de video clip.

Si un analista de SOC busca * .netflix.com en una consola SIEM, solo obtendrá una vista parcial de toda la actividad de Netflix. El analista de SOC necesitaría MVISION Cloud para descubrir los dominios * .nflxvideo.web y otras cadenas de URL efímeras para obtener una vista completa del servicio de Netflix en la pink de la organización. Finalmente, MVISION Cloud for Shadow IT debe usarse como una herramienta complementaria a la capacidad SIEM de una organización. Es una relación simbiótica. El SIEM de una organización es la fuente de datos Shadow IT para MVISION Cloud, pero es MVISION Cloud el que hace que la herramienta SIEM sea consciente de la nube.

Sigue leyendo sobre MVISION Cloud aquí.





Enlace a la noticia original