¿Por qué necesito un CASB para Shadow IT cuando ya tengo un SIEM?


¿Por qué mi organización necesita tener una solución Shadow IT cuando ya poseemos un proxy world-wide-web / firewall de próxima generación y tenemos todos los registros en una solución de información de seguridad y gestión de eventos (SIEM)?

Esta es una pregunta que a menudo nos hacen nuestros clientes. La respuesta es que MVISION Cloud CASB permite a las organizaciones descubrir el uso de Shadow IT que no es noticeable a través de una consulta en un SIEM o con las herramientas de firewall de próxima generación (NGFW) / Secure Internet Gateway (SWG). NGFW y Internet Proxies suelen catalogar servicios web utilizando una categoría y un puntaje de reputación. Entonces, un servicio de correo electrónico ruso, como mail.ru, simplemente se clasificaría como «Correo electrónico basado en la World wide web» con reputación «Confiable». A continuación se muestra una salida típica de una puntuación de reputación internet de NGFW / SWG.

Fuente: WebRoot BrightCloud Risk Intelligence

Lo que no te dice es que mail.ru está alojado en Rusia, que no encripta los datos del usuario en reposo y que es una fuente de filtraciones a Darknet. Definitivamente no es el tipo de sitio que una organización consciente de la seguridad querría que sus empleados usaran en el trabajo.

La razón de esta discrepancia en la evaluación del servicio en la nube es que los productos NGFW / SWG buscan principalmente los servicios en la nube desde una perspectiva tradicional de seguridad cibernética: ¿es el sitio una fuente de spam, ataques website, malware, and so forth.? MVISION Cloud CASB comienza allí, y también analiza el servicio en la nube riesgo del negocio. MVISION Cloud proporciona a cada servicio en la nube un puntaje de riesgo basado en una evaluación de 46 puntos de manage, que cubre más de 240 atributos de riesgo. Además, McAfee MVISION Cloud mantiene un registro detallado de más de 26,000 servicios en la nube, con aproximadamente 100 nuevos servicios agregados al registro cada mes. A modo de comparación, el registro de un proveedor líder de NGFW actualmente tiene un poco más de 3.000 servicios. La buena noticia es que los datos de Shadow IT descubiertos por MVISION Cloud pueden ser consumidos por la pila de seguridad existente de una organización para bloquear el acceso de los usuarios o limitar el alcance de la actividad de los usuarios dentro de un servicio. Así es como este servicio se clasifica en MVISION Cloud:

A McAfee a menudo se le hace la siguiente pregunta: si los hallazgos de Shadow IT se basan en datos de registro de tráfico website almacenados en un SIEM, ¿por qué no puedo encontrar información sobre el uso de Shadow de una organización directamente desde una consola SIEM? La razón principal es que un analista de SOC no sabe lo que no sabe. Si se le pregunta «Muéstrame todos los convertidores de PDF alojados fuera de los EE. UU. Que se usan en la crimson de la organización», ¿dónde comienza un analista de SOC, qué busca?

La ruta más fácil es utilizar McAfee MVISION Cloud CASB y buscar en el MVISION Cloud Registry servicios de «conversión de documentos» y ver qué convertidores PDF no autorizados están «en uso». El analista de SOC puede enviar los datos de MVISION Cloud Registry sobre los servicios sospechosos directamente a un SIEM a través de API. Estos datos ahora se pueden utilizar para realizar búsquedas dentro de la herramienta SIEM para su posterior análisis por parte del analista SOC.

Otro escenario en el que MVISION Cloud hace que un SIEM tradicional sea más «consciente de la nube» es registrar el espacio de URL para servicios complejos. Por ejemplo, si un analista de SOC quiere bloquear Netflix y crea una regla para bloquear todas las URL * .netflix.com, se sorprenderá al descubrir que Netflix es no realmente bloqueado, y los usuarios aún pueden acceder al contenido. La razón de esto es que la mayoría de los productos NGFW / SWG conocen solo un puñado de formas de llegar a un servicio en la nube. MVISION Cloud, a través de su enfoque de crowdsourcing, conoce cientos de formas de llegar a un servicio en la nube y las actualiza a medida que cambian las URL. Volviendo al ejemplo de Netflix, a continuación hay una captura de pantalla de la consola MVISION Cloud que muestra algunas de las otras URL asociadas con el servicio de transmisión de movie.

Si un analista de SOC busca * .netflix.com en una consola SIEM, solo obtendrá una vista parcial de toda la actividad de Netflix. El analista de SOC necesitaría MVISION Cloud para descubrir los dominios * .nflxvideo.internet y otras cadenas de URL efímeras para obtener una vista completa del servicio de Netflix en la crimson de la organización. Finalmente, MVISION Cloud for Shadow IT debe usarse como una herramienta complementaria a la capacidad SIEM de una organización. Es una relación simbiótica. El SIEM de una organización es la fuente de datos Shadow IT para MVISION Cloud, pero es MVISION Cloud el que hace que la herramienta SIEM sea consciente de la nube.

Sigue leyendo sobre MVISION Cloud aquí.





Enlace a la noticia unique