MaxPatrol SIEM позволяет выявлять аномалии в активности пользователей

MaxPatrol SIEM позволяет выявлять аномалии в активности пользователей

В MaxPatrol SIEM загружен пакет экспертизы, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Такие активности внутри сети могут свидетельствовать о развитии атаки на IT-инфраструктуру организации, что может привести к неограниченному контролю в управлении учетными записями и компьютерами локальной сети.

Новые правила корреляции, вошедшие в пакет экспертизы, выявляют действия злоумышленника с помощью профилирования активности пользователей. Для каждой учетной записи и сетевого узла в инфраструктуре автоматически формируется модель поведения на основе истории легитимных действий. Когда пользователь совершит отклоняющееся от модели действие, MaxPatrolSIEM зарегистрирует аномалию.

На данный момент реализовано три сценария:

  • вход в систему Windows,
  • обращение к сетевым ресурсам общего доступа и именованным каналам,
  • запрос сессионных билетов для аутентификации через Kerberos.

Если любой из перечисленных выше сценариев выполнен успешно и реализуется от имени учетной записи или с сетевого узла, которые не выполняли таких действий на протяжении длительного времени, оператор MaxPatrol SIEM получит уведомление об инциденте ИБ с описанием типа и ключевых атрибутов аномалии.

Эксперты Positive Technologies планируют постепенно расширять набор правил корреляции для выявления аномальной активности в инфраструктуре. В течение месяца будет добавлено правило для выявления запуска подозрительных для узла процессов от имени учетной записи с максимальными привилегиями в системе.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Количество внедрений IdM-решений в России удвоилось за 5 лет

В ИТ-компании «Инфосистемы Джет» проанализировали российский рынок IdM-решений за период с 2014 по 2018 годы. По результатам исследования, за последние 5 лет количество внедрений систем управления доступом в российских организациях выросло в 2 раза — с 49 до 99 проектов.

Решения Identity Management (IdM) предназначены для централизации и автоматизации управления учетными записями пользователей и правами доступа к информационным системам предприятия, а также повышения уровня контроля над использованием ИТ-инфраструктуры. Интеграция таких решений с корпоративной системой кадрового учета позволяет автоматизировать бизнес-процессы управления доступом при трудоустройстве работников, их переводе на другую должность, на время отпуска, а также в случае увольнения.

Отраслевая востребованность IdM-решений коррелирует с востребованностью ИБ-решений в целом. Согласно результатам исследования компании «Инфосистемы Джет», системы управления доступом наиболее востребованы в финансовых организациях (31% всех внедрений). При этом в отрасли наблюдается небольшой спад интереса к IdM-решениям: за последние 5 лет количество проектов снизилось на 8%. Это обусловлено тем, что большая часть финансовых организаций уже внедрила подобные продукты.

Второе место по числу внедрений занимают предприятия государственного сектора (17%). В отличие от финансовых компаний, повышение их интереса к IdM-проектам объясняется государственной политикой импортозамещения и в целом нарастающей тенденцией к информатизации госпредприятий.

Замыкают тройку лидеров нефтегазовые компании. За рассматриваемый период количество проектов в этой отрасли сократилось более чем в 2 раза. Такая динамика связана прежде всего с высоким количеством ранее реализованных внедрений: в период 2004-2008 компании этого сектора активно внедряли системы управления доступом, и их доля в общем числе проектов составляла существенные 29%. Сейчас наметилась тенденция к миграции с одного продукта на другой, но первоначальные внедрения до сих пор преобладают.

«Рост внедрений систем управления доступом обусловлен новым уровнем развития IdM-продуктов, и в ближайшие 3 года такая динамика будет сохраняться. Это связано, с одной стороны, с появлением спроса на IdM-решения в новых секторах, с другой – с повышением спроса на облачные IdM-решения. Сегодня подобные проекты составляют примерно 2% от общего числа всех внедрений, но мы ожидаем рост в этом сегменте рынка. Также не стоит забывать о курсе на импортозамещение, которого придерживаются госкомпании. За последние годы отечественные разработчики существенно продвинулись на пути создания IdM, в результате чего сегодня они сравнялись с зарубежными по количеству внедрений», — прокомментировал Ярослав Жиронкин, начальник отдела IdM-решений Центра прикладных систем безопасности компании «Инфосистемы Джет».

При проведении исследования специалисты «Инфосистемы Джет» анализировали информацию, предоставленную вендорами и дистрибьюторами, открытые данные о проектах по внедрению IdM-систем, собственную статистику и экспертные данные архитекторов интегратора. В рамках исследования также был составлен рейтинг вендоров по количеству реализованных проектов, рассмотрены вопросы миграции с решения одного вендора на решение другого и проанализирована востребованность IdM-систем, в зависимости от численности компаний.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru