Blindspotter – инструмент мониторинга пользователей
Компания BalaBit, специализирующаяся на технологиях мониторинга пользователей, объявила о начале продаж продукта Blindspotter, который позволяет обнаруживать подозрительную активность в ИТ-системах, собирая сведения о действиях пользователей и анализируя их поведение в режиме реального времени. Продукт должен помочь организациям уменьшить влияние таргетированных угроз (APT) и обнаруживать вредоносную внутреннюю активность, а также ускорять процесс расследования любых подозрительных действий.
Решение Blindspotter собирает и анализирует события, имеющие отношение к пользователю, а также его активность внутри рабочей сессии, фиксируемую в режиме реального времени или с минимальной задержкой. Затем оно сравнивает каждое действие с соответствующим базовым состоянием (типичным поведением) пользователей для обнаружения аномалий в их поведении – например, входов под учетной записью администратора в нетипичные часы. Кроме того, Blindspotter может обнаруживать аномалии на уровне команды, отличающейся от стандартного набора команд, используемого администратором. В этом случае продукт подает сигнал службе безопасности. При наличии подозрительных факторов в работе ИТ-систем Blindspotter может также автоматически предпринять меры для минимизации угрозы.
Продукт разработан с учетом современных ключевых проблем безопасности и может предупреждать компании о возникновении ряда важных угроз.
Обнаружение взломанных учетных записей пользователей: действия хакера, который завладел учетной записью, будут отличаться от действий обычного пользователя; злоумышленник, пришедший извне, постарается создать карту ИТ-системы, обращаясь к различным системам и размещенным на них доступным службам, или начнет скачивать большие объемы данных, которые могут быть ему полезны. Blindspotter помогает обнаруживать такие отклонения в поведении и оповещает о них аналитиков службы безопасности.
Обнаружение злоупотребления привилегиями: Blindspotter может фиксировать попытки пользователя с высокими привилегиями украсть данные компании или получить доступ к копированию или изменению важных данных компании, которые не нужны ему для работы.
Обнаружение злоупотребления в автоматизированной системе учета: эта система, как правило, создается администраторами для выполнения регулярно повторяющихся задач, таких как резервное копирование базы данных или перезапуск отдельных сервисов на ночь. Автоматизированная система учета повышает эффективность работы администраторов, однако они берут на себя риск, используя собственные учетные записи для облегчения работы. Это большая угроза для безопасности компании: если хакер взломает скрипт, то он получит не только сведения об учетной записи системного администратора, но и доступ ко многим службам. Blindspotter позволяет настраивать разные учетные записи, используемые отдельно пользователями и для автоматизированной работы.
В сочетании с продуктом Shell Control Box, специализированным устройством для мониторинга активности привилегированных пользователей, Blindspotter также может анализировать содержимое экрана пользователя, включая его команды, используемое прикладное ПО и любые текстовые данные, появляющиеся на мониторе. Это делает возможным обнаружение очевидных признаков таргетированных угроз или серьезного злоупотребления привилегиями.