Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Balabit, анонсировал выпуск Blindspotter версии 2016.03. Последняя версия системы анализа поведения пользователей включает в себя несколько новых уникальных алгоритмов машинного обучения, которые помогут отделу ИБ быстро распознать взломанные учетные записи или обнаружить несанкционированную передачу аккаунта, что позволит избежать масштабных утечек данных.

Blindspotter не только выявляет ранее неизвестные угрозы, но и точно визуализирует их, позволяя организациям значительно сократить время обнаружения, расследования и реагирования на внутренние и внешние атаки.

Ключевые особенности Blindspotterверсии 2016.03:

  • Обнаружение системных учетных записей, используемых человеком, и личных аккаунтов, используемых в скриптах

Системные аккаунты, под которыми работают сотрудники, учетные записи общего пользования и личные аккаунты, используемые в скриптах, считаются потенциальных риском нарушения информационной безопасности в любой компании. Когда злоумышленник получает доступ к учетным данным, используемым в скрипте (особенно если речь идет об аккаунтах для административных задач), это может привести к масштабной утечке или уничтожению данных. Blindspotter способен отличить действия человека от автоматизированных операций и позволяет службе информационной безопасности обнаружить злоупотребления  личными или служебными учетными записями.

  • Анализ содержимого, отображаемого на экране

Основываясь на возможностях Balabit Shell Control Box, одном из ведущих на рынке решений по контролю и мониторингу действий пользователей, Blindspotter способен анализировать команды, использованные в протоколах SSH и Telnet, и находить потенциально рисковые операции. Начиная с  версии 2016.03 возможность детектирования рисковых операций также распространяется и на пользователей операционных систем Windows (рядовых, привилегированных или корпоративных), подключающихся к корпоративным системам через протокол удаленного рабочего стола (RDP). На основе анализа текста, появляющегося в графических протоколах на экране, взломанные учетные записи и внутренние злоумышленники теперь могут быть найдены и в среде Windows.

  • Биометрический анализ ввода данных пользователем

То, как мы работаем на наших компьютерах — это часть нашего цифрового отпечатка, характерная динамика нажатий клавиш клавиатуры и движения мышкой определяют нас так же, как и подпись на документах. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

«Кроме существующего набора нескольких сложных алгоритмов машинного обучения, в новом релизе Blindspotter улучшен функционал мониторинга и анализа поведения пользователей: добавлена возможность определения автоматизированных действий  личных аккаунтов и проводится биометрический анализ динамики нажатий клавиш клавиатуры и движения мыши сотрудника, отмечает Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit. — Blindspotter позволяет ИТ-директорам и специалистам по информационной безопасности получить полную и уникальную визуализацию происходящего в ИТ-инфраструктуре. Чтобы лучше понимать, как ИТ-сервисы используются определенными сотрудниками или группами пользователей, менеджеры могут получить мгновенную и осязаемую информацию для принятия мер. В целом можно отметить, что Blindspotter улучшает свойства и возможности существующих ИБ-решений в компании, помогая оптимизировать ИТ-ресурсы и повысить эффективность бизнес-процессов».

ГК «Солар» и SEG-T разрабатывают почтовый шлюз с ИИ-фильтрацией

Ко-фаундер Secure-T Харитон Никишкин при поддержке ГК «Солар» запустил разработку решения SEG-T для защиты корпоративной почты. Продукт относится к классу security email gateway и должен фильтровать входящий и исходящий почтовый трафик с помощью мультиагентного ИИ.

Разработчики связывают запуск проекта с ростом фишинговых атак.

Сегодня такие кампании всё чаще собираются из готовых инструментов: панелей управления, инфраструктуры рассылки, антибот-механизмов, модулей перехвата одноразовых кодов и других компонентов. Дополнительно атакующие используют ИИ, чтобы быстрее готовить убедительные письма и масштабировать обман.

SEG-T должен анализировать сообщения не только по техническим признакам, но и по смыслу. ИИ будет оценивать тональность письма, признаки манипуляции, попытки вызвать доверие, страх или срочно подтолкнуть адресата к действию. Также система сможет блокировать письма со ссылками, архивами, PDF, исполняемыми файлами, SVG и другими вложениями, которые могут содержать вредоносный контент.

От отдельной встроенной «песочницы» разработчики отказались. По их оценке, значительная часть современных атак строится не на вредоносном коде, а на социальной инженерии: подмене отправителя, психологическом давлении и попытках заставить пользователя самому выполнить нужное действие. Для критичных вложений при этом планируют оставить возможность подключать внешние «песочницы».

Решение также предполагается использовать вместе с другими продуктами «Солара»: например, с Solar webProxy для проверки трафика и Solar Dozor для контроля пересылки персональных данных — ИНН, СНИЛС, паспортных данных и номеров банковских карт.

SEG-T будет доступен в облаке, локальной сети и Kubernetes. По заявлению разработчиков, запуск продукта в эксплуатацию в среднем должен занимать около 15 минут.

В проекте «Солару» принадлежит 49%. Ранее компания уже увеличила долю в Secure-T до контрольного пакета. Новый проект продолжает направление, связанное с защитой от фишинга, спама, вредоносных рассылок и атак на корпоративную почту.

RSS: Новости на портале Anti-Malware.ru