Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Balabit, анонсировал выпуск Blindspotter версии 2016.03. Последняя версия системы анализа поведения пользователей включает в себя несколько новых уникальных алгоритмов машинного обучения, которые помогут отделу ИБ быстро распознать взломанные учетные записи или обнаружить несанкционированную передачу аккаунта, что позволит избежать масштабных утечек данных.

Blindspotter не только выявляет ранее неизвестные угрозы, но и точно визуализирует их, позволяя организациям значительно сократить время обнаружения, расследования и реагирования на внутренние и внешние атаки.

Ключевые особенности Blindspotterверсии 2016.03:

  • Обнаружение системных учетных записей, используемых человеком, и личных аккаунтов, используемых в скриптах

Системные аккаунты, под которыми работают сотрудники, учетные записи общего пользования и личные аккаунты, используемые в скриптах, считаются потенциальных риском нарушения информационной безопасности в любой компании. Когда злоумышленник получает доступ к учетным данным, используемым в скрипте (особенно если речь идет об аккаунтах для административных задач), это может привести к масштабной утечке или уничтожению данных. Blindspotter способен отличить действия человека от автоматизированных операций и позволяет службе информационной безопасности обнаружить злоупотребления  личными или служебными учетными записями.

  • Анализ содержимого, отображаемого на экране

Основываясь на возможностях Balabit Shell Control Box, одном из ведущих на рынке решений по контролю и мониторингу действий пользователей, Blindspotter способен анализировать команды, использованные в протоколах SSH и Telnet, и находить потенциально рисковые операции. Начиная с  версии 2016.03 возможность детектирования рисковых операций также распространяется и на пользователей операционных систем Windows (рядовых, привилегированных или корпоративных), подключающихся к корпоративным системам через протокол удаленного рабочего стола (RDP). На основе анализа текста, появляющегося в графических протоколах на экране, взломанные учетные записи и внутренние злоумышленники теперь могут быть найдены и в среде Windows.

  • Биометрический анализ ввода данных пользователем

То, как мы работаем на наших компьютерах — это часть нашего цифрового отпечатка, характерная динамика нажатий клавиш клавиатуры и движения мышкой определяют нас так же, как и подпись на документах. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

«Кроме существующего набора нескольких сложных алгоритмов машинного обучения, в новом релизе Blindspotter улучшен функционал мониторинга и анализа поведения пользователей: добавлена возможность определения автоматизированных действий  личных аккаунтов и проводится биометрический анализ динамики нажатий клавиш клавиатуры и движения мыши сотрудника, отмечает Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit. — Blindspotter позволяет ИТ-директорам и специалистам по информационной безопасности получить полную и уникальную визуализацию происходящего в ИТ-инфраструктуре. Чтобы лучше понимать, как ИТ-сервисы используются определенными сотрудниками или группами пользователей, менеджеры могут получить мгновенную и осязаемую информацию для принятия мер. В целом можно отметить, что Blindspotter улучшает свойства и возможности существующих ИБ-решений в компании, помогая оптимизировать ИТ-ресурсы и повысить эффективность бизнес-процессов».

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru