BalaBit представил инструмент для анализа поведения пользователей в реальном времени
Компания BalaBit, специализирующаяся на передовых технологиях мониторинга пользователей, объявила о начале продаж продукта Blindspotter. Как сообщили CNews в BalaBit, он предназначен для анализа поведения пользователей в режиме реального времени: собирая сведения об их действиях, решение позволяет обнаруживать подозрительные события в ИТ-системах. Продукт разработан для того, чтобы помочь организациям уменьшать влияние таргетированных угроз (APT) и обнаруживать вредоносную внутреннюю активность, а также ускорять процесс расследования любых подозрительных действий.
По словам разработчиков, Blindspotter отслеживает и наглядно представляет активность пользователя в режиме реального времени, благодаря чему компании лучше понимают, что на самом деле происходит в сети. Решение собирает и анализирует события, имеющие отношение к пользователю, а также его активность внутри рабочей сессии, фиксируемую в режиме реального времени или с минимальной задержкой. Затем оно сравнивает каждое действие с соответствующим базовым состоянием (типичным поведением) пользователей для обнаружения аномалий в их поведении — например, входов под учетной записью администратора в нетипичные для них часы. Кроме того, Blindspotter может обнаруживать аномалии на уровне команды, отличающейся от стандартного набора команд, используемого администратором. В этом случае продукт подает сигнал службе безопасности. При наличии подозрительных факторов в работе ИТ-систем Blindspotter может также автоматически предпринять меры для минимизации угрозы.
По информации BalaBit, продукт разработан с учетом современных ключевых проблем безопасности и может предупреждать компании о возникновении целого ряда важных угроз.
Обнаружение взломанных учетных записей пользователей
Действия хакера, который завладел учетной записью, будут значительно отличаться от действий обычного пользователя. Злоумышленник, пришедший извне, постарается создать карту ИТ-системы, обращаясь к различным системам и размещенным на них доступным службам, или начнет скачивать большие объемы данных, которые могут быть ему полезны. Blindspotter помогает обнаруживать такие отклонения в поведении и оповещает о них аналитиков службы безопасности, пояснили в BalaBit.
Обнаружение злоупотребления привилегиями
Blindspotter может фиксировать попытки пользователя с высокими привилегиями украсть данные компании или получить доступ к копированию или изменению важных данных компании, которые не нужны ему для работы. Таким образом, утечку информации можно предотвратить.
Обнаружение злоупотребления в автоматизированной системе учета
Автоматизированная система учета, как правило, создается администраторами для повторения регулярных задач, таких как резервное копирование базы данных или перезапуск отдельных сервисов на ночь. Автоматизированная система учета оптимизирует работу администраторов, однако они берут на себя риск, используя собственные учетные записи для облегчения работы. В свою очередь, это большая угроза для безопасности компании: если хакер взломает скрипт, то он получит не только сведения об учетной записи системного администратора, но и доступ ко всем службам, который имеется у него, указали в компании. Blindspotter позволяет настраивать разные учетные записи, используемые отдельно пользователями и для автоматизированной работы.
Анализ содержимого экрана
При использовании в сочетании с продуктом Shell Control Box — специализированным устройством мониторинга активности привилегированных пользователей — Blindspotter также может анализировать содержимое экрана пользователя, включая его команды, используемое прикладное программное обеспечение, а также любые текстовые данные, появляющиеся на мониторе. Это делает возможным обнаружение любых очевидных признаков таргетированных угроз или серьезного злоупотребления привилегиями.
«Для большинства компаний угрозы безопасности могут приходить не только извне. Это может быть и опытный хакер, получивший доступ к внутренней учетной записи, но также и злоумышленник из числа сотрудников, пытающийся украсть важные корпоративные данные, — пояснил Золтан Дъёрку (Zoltán Györkő), генеральный директор BalaBit. — Раньше обнаружение внутренних угроз было очень проблематичной задачей. Blindspotter разработан специально для устранения этого пробела в безопасности и защиты критически важных данных без снижения скорости повседневных бизнес-процессов».
© CNews