Решение по анализу действий пользователей в режиме реального времени для выявления внутренних и внешних киберпреступников

Blindspotter™ — это новейшее мониторинговое решение, составляющее профили поведения привилегированных пользователей с целью выявления потенциально опасных отклонений в их поведении. Blindspotter™, помимо привычных системных логов, агрегирует разнообразную контекстную информацию о действиях пользователей, проводит обработки собранной информации с помощью уникальных алгоритмов и на конечном этапе проделанного анализа осуществляет различные действия – от предупреждений как администраторов ИБ, так и самого пользователя, до автоматического вмешательства – блокировки сессий пользователя и его учетной записи. BlindSpotter™ отлично подходит для отражения сложных целевых атак на организацию и выявления внутренних киберпреступников.

ЗАПЛАНИРОВАТЬ ЗВОНОК

Новый периметр защиты — наши пользователи

Страшный сон многих компаний – когда в ИТ инфраструктуре, которая раньше считалась защищенным внутренним периметром, находится некто, не являющийся сотрудников компании, и исследующий внутренние ресурсы и сервисы организации в поисках конфиденциальной информации, персональных или финансовых данных с целью усилить своё присутствие в сети или продать полученные данные на черном рынке. Это – современный злоумышленник, умный высокооплачиваемый специалист, атаки которого становятся все изощреннее и точнее. Недавние резонансные взломы нередко объединяет то, что они были тщательно спланированы, а злоумышленники беспрепятственно орудовали в ИТ-инфраструктуре своих жертв, оставаясь незамеченными в течение определённого времени. У злоумышленников, находящихся внутри защищенного периметра, есть одно неоспоримое преимущество – основные средства информационной безопасности для защиты компаний разрабатывались для борьбы с внешними угрозами, но никак не доверенными внутренними сотрудниками компании. При проведении целевых атак для получения несанкционированного доступа используется комбинация техник и инструментов: использование ИТ-уязвимостей, в том числе нулевого дня, социальной инженерии, кражи носителей информации, токенов двух-факторной аутентификации и т.д. Это означает, что новым периметром, которому следует уделять первостепенное внимание, являются привилегированные пользователи. Именно они, а не инфраструктура, как раньше, находятся теперь во главе угла системы информационной безопасности. Blindspotter является воплощением именно такого подхода, это инструмент информационной безопасности, в котором главное внимание уделяется внутренним и внешним привилегированным пользователям с фокусированием на их действиях в системе.

Больше мониторинга, меньше вмешательства и управления

Balabit — инновационная компания с более чем 15-летним опытом работы в сфере информационной безопасности. Компания специализируется на разработке систем сбора, хранения, обработки и пересылки логов и продвинутого контроля и видеофиксации действий пользователей. Одна из разработок компании — Blindspotter™, инструмент информационной безопасности нового поколения, анализирующий действия пользователей и обнаруживающий подозрительные события и активности в ИТ-системах. Выявляя отклонения от обычного поведения пользователей и присваивая им степени риска, данное решение помогает компаниям сосредоточить внимание на наиболее важных событиях информационной безопасности. Blindspotter™ также позволяет заменить собой некоторые средства управления внутренними бизнес-процессами, и повысить тем самым эффективность бизнеса. Увеличение же количества решений для ограничения действий пользователей, как правило нисколько не повышает безопасность компании, а лишь снижает продуктивность сотрудников.

benefits of user behavior analytics - UBA
user behavior analysis - security solution

Blindspotter™ агрегирует в себе различную контекстную информацию о пользователях и об их действиях из различных журналов системных событий и информационных систем (например, из логов работы приложений и операционных систем, событий, собранных и коррелированных в SIEM, данных систем HR и CRM, LDAP каталогов и т. д.). Далее Blindspotter™ обрабатывает полученную информацию с помощью уникальных наборов алгоритмов и генерирует профили поведения пользователей, которые постоянно корректируются с применением машинного обучения. Инструмент отслеживает и визуализирует действия пользователей в режиме реального времени, позволяя лучше понять, что в действительности происходит внутри ИТ-систем, и в итоге предлагает выбрать различные действия в зависимости от характера происходящих событий – от отображения информирующего сообщения на панели оповещений (dashboard), до автоматического вмешательства – оповещения пользователя по телефону о происходящем под его учетной записью и блокировки активных сессий пользователя в случае, когда пользователь не подтверждает свою активность. При этом не требуется заранее настраивать определенные правила корреляции; Blindspotter™ просто работает с имеющимися данными. Встроенные алгоритмы анализа имеют настраиваемые параметры, с помощью которых можно точно корректировать результат, даже не будучи высококвалифицированным специалистом по работе с данными. Данные анализируются множеством способов, позволяя корректировать уровень риска и отклонения для каждого действия пользователя. Blindspotter™ обнаруживает все отклонения от нормального функционирования с помощью панели инструментов с продуманной иерархией приоритетов. За счет расширенного мониторинга каждого аспекта ИТ-системы Blindspotter™ предотвращает потенциальный взлом как изнутри, так и извне и, соответственно, утечку конфиденциальных и критически важных данных..

Какие преимущества Blindspotter™ даёт организации?

  • Снижение вероятности и уменьшение ущерба от последствий взлома.
  • Выявление подозрительных действий пользователей и обнаружение ранее неизвестных угроз.
  • Повышение эффективности работы отделов информационной безопасности.
  • Повышение гибкости бизнеса с одновременным усилением безопасности.
«Поскольку Blindspotter™ — революционный инструмент не только для мониторинга, но и профилактики. Он умеет активно вмешиваться в происходящие события – например, требовать обязательной дополнительной аутентификации, задействовать дополнительные средства наблюдения за подозрительными действиями, а также приостанавливать либо блокировать доступ».
Золтан Дьёркё (Zoltán Györkő) генеральный директор Balabit