Balabit представил продукт для поиска аномалий в поведении пользователей

Balabit представил продукт для поиска аномалий в поведении пользователей

Венгерская компания Balabit объявила о выпуске нового продукта Blindspotter, который предназначен для выявления аномалий в поведении пользователей. Предполагается, что эти аномалии вызваны либо деятельностью вредоносного ПО, либо перехватом идентификационной информации - в любом случае целью этой деятельности является детектирование неизвестных, а, возможно, и целенаправленных атак.

Blindspotter - это программный комплекс, который может получать информацию из различных источников: коллектора системных журналов Syslog-NG или построенного на его основе программно-аппаратного комплекса Syslog-NG Store Box, аналитических инструментов SIEM, модулей аутентификации пользователей или каталогов LDAP. Продукт впервые был представлен на выставке InfoSecurity в Лондоне в прошлом году, а сейчас стал доступен для коммерческого заказа в том числе и в России.

Система оценивает такие параметры пользовательской активности как время подключения, адреса доступа, скорость работы с клавиатурой, параметры операционной системы, используемые серверы и приложения, производительность. В частности, если человек слишком быстро набирает ответы или ему требуется очень мало времени на анализ информации, то у системы может возникнуть подозрение, что работает программный робот. Эти параметры анализируются и визуализируются для того, чтобы администраторы безопасности могли выявились и расследовать аномальное поведение пользователей, такое как запуск необычных для них программ или вход в систему в необычное время. В частности, с помощью Blindspotter можно определить момент, когда под именем одного пользователя в системе авторизовался другой, когда легальный пользователь начал злоупотреблять полномочиями и собирать сведения для организации их утечки, или когда легальный системный администратор случайно запустил вредоносный скрипт. Причём, продукт фиксирует такие события в реальном времени и сообщает о их обнаружении администратору безопасности.

По словам Питера Джанджоши, менеджера Balabit по Blindspotter, этот продукт задумывался как средство управления различного типа операционными рисками. То есть теоретически его можно использовать для выявления подозрительного поведения клиентов, для чего достаточно получать сведения из специализированных приложений, таких как CRM или службы технической поддержки. В результате, можно будет выявлять различные виды мошенничества со стороны клиентов и оценивать риск проведения несанкционированных операций. Продукт позволяет разрешать постепенные, но не опасные отклонения в поведении, а вот сильные и опасные - блокировать. "Если вы не можете определить насколько опасны действия пользователей, то лучше поставить для них пониженный приоритет," - рекомендует Питер Джонджоши.

По его словам Blindspotter будет развиваться как платформа для построения решения управления рисками. Со временем планируется предложить партнёрам разработать модули взаимодействия с продуктом, которые как раз и позволили бы добавлять в систему сведения из различных приложений. API не будет открытым, но партнёры смогут получить к нему доступ и реализовать взаимодействие со своими продуктами. Прежде всего такой продукт может быть востребован в финансовой индустрии или для обеспечения непрерывности бизнеса, то есть в тех компаниях, которые сильно зависят от работоспособности ИТ-системы и имеют много пользователей.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

InfoWatch EndPoint Security 13.1 улучшает алгоритмы шифрования

Группа компаний (ГК) InfoWatch, российский разработчик комплексных решений в сфере информационной безопасности (ИБ) предприятий, сообщает о выпуске InfoWatch EndPoint Security 13.1 — решения для мониторинга и контроля целостности рабочих станций и информационных ресурсов организаций с улучшенными алгоритмами шифрования. Продукт позволяет контролировать доступ сотрудников к различным устройствам и программам, автоматически шифрует данные для защиты от несанкционированного доступа, в том числе по ГОСТу, и обеспечивает аудит информационных систем организации.

Для удобного и быстрого мониторинга использования ИТ-инфраструктуры предприятий, продукт InfoWatch EndPoint Security с помощью инструмента «Insight» создает наглядные отчеты, которые позволяют оценить и спрогнозировать использование сотрудниками рабочих станций, оргтехники, различных накопителей информации, сетевых и интернет-ресурсов, программных приложений.

«Программный продукт InfoWatch EndPoint Security позволяет предприятиям выполнить ряд базовых шагов по построению систем защиты, — отметил руководитель направления InfoWatch Endpoint Security Сергей Поздняков. — Решение проводит аудит всех информационных систем в организации, позволяет определить узкие места в ИТ-инфраструктуре и выявить неправомерные действия сотрудников, установить правила для отслеживания легитимных действий и инцидентов информационной безопасности. При этом, настроенные службой ИБ политики безопасности применяются на устройствах, где установлен агент, даже если компьютер находится за пределами компании и не имеет подключения к сети».

Решение InfoWatch EndPoint Security предоставляет возможность разграничивать права доступа сотрудников к устройствам и сетевому окружению, например, флэш-накопителям, локальным дискам, принтерам, и к программам, создавая черные и белые списки, а также контролировать операции с конкретными типами файлов. Кроме того, программный продукт позволяет ограничивать скачивание данных через браузер, доступ к облачным хранилищам и передачу документов в мессенджер Skype.

Новая версия InfoWatch EndPoint Security 13.1 содержит улучшенные алгоритмы и способы шифрования данных.

«Съемные носители, ноутбуки, облачные хранилища — это, как правило, наиболее уязвимые звенья корпоративной ИТ-инфраструктуры, где сотрудники часто хранят большие объемы конфиденциальной информации, — сказал Сергей Поздняков. — Такие каналы часто привлекают внимание злоумышленников, подвержены постороннему доступу и потере контроля над ними с последующей компрометацией данных. Поэтому без должного уровня защиты возникают риски, которые могут вести к репутационным и финансовым потерям. InfoWatch EndPoint Security шифрует файлы в локальных каталогах ноутбуков и ПК, на внешних устройствах, в сетевых каталогах и в облачных хранилищах и тем самым обеспечивает целостность и конфиденциальность данных. Доступ к данным возможен только пользователям, установленным политиками безопасности. Шифрование данных не нарушает обычную работу устройства и может производиться как автоматически в фоновом режиме, так и самим пользователем или офицером безопасности с помощью контекстного меню».

Решение позволяет настраивать доступ к зашифрованным данным в зависимости от потребностей и бизнес-процессов организации, например, при индивидуальном шифровании  файл будет доступен только конкретному пользователю, а для предоставления доступа определенному кругу лиц доступна функция шифрования по группам.

Для выполнения криптографических операций в операционной системе продукт может использовать как базовый криптопровайдер Windows, так и сторонний криптопровайдер, который позволяет использовать стандарт шифрования ГОСТ 28147-89.

Решение может интегрироваться с DLP-системой InfoWatch Traffic Monitor и дополнять ее данными о действиях пользователей. InfoWatch EndPoint Security направляет в DLP-систему теневые копии файлов при их копировании на съемные носители. Кроме того, продукт позволяет отслеживать изменения, связанные с аппаратной частью рабочего места сотрудника, например, замену жестких дисков, модулей оперативной памяти или графических адаптеров.

Интеграция InfoWatch EndPoint Security в инфраструктуру организации предполагает развертывание программного агента на компьютерах сотрудников, а также установку сервера управления для работы ИБ-специалистов. Для установки агента InfoWatch EndPoint Security на устройстве требуется 1 ГБ свободного места на диске и 512 МБ оперативной памяти. Программный продукт быстро масштабируется на любое количество станций.

Дополнительно о ключевых особенностях продукта вы можете узнать здесь.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru