Обзор FortiInsight для анализа поведения сотрудников (UEBA)


Обзор FortiInsight для анализа поведения сотрудников (UEBA)

FortiInsight является приемником ZoneFox, приобретенного ранее компанией Fortinet, и предназначается для анализа поведения пользователей (UEBA). Система осуществляет постоянный мониторинг действий сотрудников с использованием алгоритмов машинного обучения, следит за рабочими станциями и серверами, файлами, приложениями и потоками данных в сети предприятия. Обнаружив подозрительную активность, FortiInsight информирует об инциденте специалистам по безопасности и помогает провести его расследование. Основная задача FortiInsight — максимально снизить риск утечки критически важной для бизнеса информации и повысить общий уровень безопасности организации.

Сертификат AM Test Lab

Номер сертификата: 281

Дата выдачи: 04.02.2020

Срок действия: 04.02.2025

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Общая информация
  3. Принцип работы FortiInsight
  4. Архитектура
  5. Работа в графическом интерфейсе FortiInsight
    1. 5.1. Установка агентов
    2. 5.2. Поиск угроз
    3. 5.3. Создание и настройка политик
    4. 5.4. Предупреждения об угрозах и оценка риска
    5. 5.5. Использование дашбордов и создание виджетов
    6. 5.6. Формирование отчетов об угрозах
    7. 5.7. Расследование инцидентов
  6. Модель распространения
  7. Выводы

 

Введение

Согласно отчету по расследованию утечек данных за 2018 год, опубликованному компанией Verizon, 28 процентов всех зарегистрированных в течение года инцидентов были вызваны случайными (небрежными, невнимательными) или злонамеренными действиями внутренних нарушителей.

ФСТЭК России предупреждает, что «наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители» и определяет их как лиц, имеющих право постоянного или разового доступа к информационной системе или ее отдельным компонентам.

Выявление возникающих внутренних угроз и своевременное реагирование на них остается сложной задачей для организаций, и это — не та проблема, которую стоит игнорировать.

В конце прошлого года Fortinet приобрела компанию ZoneFox Limited, а в 2019 году представила собственный продукт, полноправного наследника и последователя идей ZoneFox — FortiInsight.

Подверженность риску утечки информации со стороны пользователей внутри организации — будь то преднамеренные или непреднамеренные действия — может быть “слепой зоной” с точки зрения кибербезопасности. К тому же, действующие европейские и американские нормативные акты, основанные на международных стандартах, такие как GDPR (General Data Protection Regulation — общий регламент о защите персональных данных, Европейский Союз), HIPAA (Health Insurance Portability and Accountability Act — акт (закон) о мобильности и подотчётности медицинского страхования, США) — способны налагать большие штрафы на организации, которые не могут предотвратить события, приводящие к утечкам конфиденциальных данных, а также своевременно отчитаться о них. С решением этих задач должен справиться FortiInsight.

Разработчик заявляет, что FortiInsight — уникальное решение для защиты данных и обнаружения угроз, которое обеспечивает расширенный поиск аномалий и создано для того, чтобы помочь определить подозрительное поведение сотрудников, вовремя среагировать на него и контролировать действия, способные подвергнуть опасности критически важные для бизнеса данные.

Для достижения этих целей FortiInsight сочетает мощные и гибкие методы машинного обучения с детальным анализом действий сотрудников организации, что, в свою очередь, помогает быстрее (в отличие от других решений) сосредоточиться на самом факте подозрительной активности.

 

Общая информация

Удостоенная зарубежных наград технология, используемая в FortiInsight, обеспечивает ясную видимость операций, проводимых с данными — кто, что, где и когда с ними делал, — путем мониторинга поведения пользователей и слежения за перемещением данных как в вашей сети, так и за ее пределами, а также обладает функцией мгновенного оповещения об аномальных ситуациях и возможных угрозах.

FortiInsight устанавливается на конечных устройствах.

Технология Endpoint Agent наглядно демонстрирует, как передаются файлы в облачные хранилища (или из них), в Skype, в мессенджеры и т. д., а также осуществляет отслеживание имен файлов, которые передаются с помощью криптографических средств.

FortiInsight — система класса UEBA (User and Entity Behavior Analytics). Для предотвращения и обнаружения инсайдерских программ проводит перманентный анализ поведения пользователей и сущностей. Технология, основанная на наборах правил и дополненная искусственным интеллектом, определяет известные и неизвестные угрозы, начиная от злонамеренной внутренней активности и заканчивая скомпрометированными учетными записями пользователей.

Ведется учет и осуществляется запись поведения пользователей, компьютеров, приложений, файлов и результатов сетевой активности (источника/назначения) в полном объеме с целью дальнейшего расследования возникшей угрозы или проверки на соответствие нормативным требованиям.

Используя новейшие технологии обработки больших данных, FortiInsight собирает миллиарды событий, которые сопоставляются, анализируются и практически сразу предоставляются отделу безопасности организации.

FortiInsight поможет ответить на такие вопросы, как «кто загрузил базу данных о заработной плате сотрудников?», «по какой причине кто-то с этого IP-адреса выгружает список клиентов?», «сколько людей используют неутвержденные регламентом компании облачные хранилища?» и другие подобные.

 

Принцип работы FortiInsight

Легкий, не требующий настройки агент, установленный в каждой системе, не выполняет никаких аналитических или превентивных действий на конечном устройстве — он просто собирает и отправляет информацию для оповещения или расследования. Благодаря такому подходу Endpoint Agent имеет значительные преимущества, поскольку практически не влияет на производительность устройства и занимает совсем немного места на жестком диске, сразу отправляя телеметрию в облачную службу, которая хранит, анализирует и предоставляет данные вашим специалистам по безопасности.

Централизуя полученную информацию, FortiInsight может коррелировать данные и применять алгоритмы машинного обучения ко всей вашей среде, демонстрируя картину поведения пользователей и перемещения информации. Кроме этого, продукт обеспечивает мониторинг всех действий на устройствах (как находящихся в сети, так и работающих автономно) за счет комплекса правил.

Правила устанавливаются для определения того, что является приемлемой деятельностью пользователя. Если происходит событие, нарушающее эти правила, администратору отправляется предупреждение. Соответствующий набор функций также используется для того, чтобы выявлять потенциальные нарушения нормативных актов (таких как GDPR и HIPAA).

С помощью методов машинного обучения FortiInsight изучает действия с данными и информационными потоками вашей организации, чтобы обнаруживать различные аномалии: скомпрометированные учетные записи, изменения поведенческой модели в какой-то группе пользователей, действия, которые нехарактерны для конкретного сотрудника (например, поиск и просмотр файлов, которые он обычно не открывает, или любые другие отклонения от его стандартного шаблона работы). При выявлении аномального поведения заинтересованные лица получают оповещения в режиме реального времени для немедленного реагирования.

 

Рисунок 1. Схема работы FortiInsight

 Схема работы FortiInsight

 

Архитектура

Решение FortiInsight включает следующие компоненты:

  • агенты на конечных устройствах (Endpoint Agents);
  • события (Events);
  • облачную службу (FortiInsight Cloud Service).

Агенты устанавливаются на конечные устройства (настольные компьютеры и серверы), работающие на базе операционных систем Windows. Каждый агент собирает данные о действиях на конечных устройствах и в режиме реального времени отправляет их в виде событий в облачную службу, которая хранит и анализирует полученные данные. Агенты «мало весят», в процессе работы обычно потребляют меньше 1% ЦП и не более 50 МБ ОЗУ. Как следствие, мониторинг действий происходит без замедления работы компьютера.

Если устройство отключено от сети, агент продолжает собирать и хранить информацию о действиях локально. Когда компьютер вновь соединится с сетью, агент отправит сохраненные данные в облако.

FortiInsight автоматически производит проверку подлинности и регистрирует новые машины. Все, что вам нужно — установить агент.

События — это активность системного уровня, которая происходит в сети. FortiInsight фиксирует сетевые (например, скачивание файла) и пользовательские (скажем, вход в систему) события с хостов.

Каждое событие содержит в себе сведения, приведенные в таблице.

 

Таблица 1. Сведения, содержащиеся в событиях

ЭлементОписание
UserУчетная запись пользователя, выполняющего действие
EndpointУстройство, на котором происходило действие
ActivityТип совершаемых действий, например «файл прочитан» или «файл загружен» 
Application or processНазвание приложения или процесса, например «explorer.exe» или «winword.exe»
ResourceОбычно это — путь, имя и тип файла, участвующего в активности
Network destination and originДля сетевых событий на вкладке Network (Threat Hunting→Network) можно посмотреть, где началась и закончилась активность, включая номер порта, который был использован для передачи

 

Поскольку через FortiInsight проходит весьма большой объем данных, после определенного порогового значения программный комплекс начинает сжимать события, чтобы оптимизировать работу серверного запоминающего устройства.

Данные, которые собирает FortiInsight, надежно защищены.

Для hosted-размещений все данные шифруются. Бекенд FortiInsight не является многоклиентской системой, поэтому не требует сегрегации — для каждого заказчика выделен свой набор серверов, включая собственную базу данных. Доступ к клиентской системе возможен только с публичного IP-адреса, предоставленного самим клиентом, и с адресов Fortinet (для администрирования).

Для размещений по типу on-premise разработчик дает рекомендации о том, как вы можете сконфигурировать свой FortiInsight.

Пароли для управления графическим интерфейсом FortiInsight также защищены: «подсолены», захешированы и не хранятся в виде текста.

 

Работа в графическом интерфейсе FortiInsight

Заметим сразу, что необходимо настроить межсетевой экран для связи агентов с облачной службой FortiInsight. По умолчанию используется порт TCP 8080 (HTTPS). Вы можете сделать это во время установки или после нее.

 

Установка агентов

Загрузка инсталляционного файла агента происходит из графического интерфейса консоли управления.

 

Рисунок 2. Загрузка агента из веб-интерфейса в FortiInsight

 Загрузка агента из веб-интерфейса в FortiInsight

 

Для успешной установки и использования FortiInsight 5.4.0 (актуальная версия на момент написания статьи) ваша система должна удовлетворять следующим требованиям:

 

Таблица 2. Системные требования FortiInsight Endpoint Agent

КомпонентТребования
Технические характеристики компьютера1.0 ГГц ЦП — x86 или x64 (агент использует от 0.1% до 5%)
1 ГБ ОЗУ (агент использует от 10 до 30 МБ)
20 МБ свободного места на жестком диске (больше места необходимо для хранения и шифрования событий в автономном режиме)
Операционная системаWindows 7 (32- или 64-битная) или новее
Windows Server 2008 (32- или 64-битная) или новее
Веб-браузерGoogle Chrome (рекомендован)
Chromium
Mozilla Firefox
Apple Safari
 
При этом разработчик указывает, что корректная работа на других браузерах возможна, но официально не поддерживается
Устройства вводаКлавиатура и мышь (поддержка устройств, реагирующих на прикосновения, отсутствует)

 

Инсталляцию можно производить с помощью установщика Windows (MsiExec).

После установки необходимо добавить программные файлы FortiInsight в «белый список» антивируса.

 

Поиск угроз

В пункте меню Threat Hunting отображается информация обо всех событиях, которые FortiInsight записал с конечных устройств. Поиск осуществляется с помощью специальной панели, вы можете создавать сложные поисковые запросы и добавлять результаты в коллекции (Сollections).

 

Рисунок 3. Страница Threat Hunting в графическом интерфейсе FortiInsight

 Страница Threat Hunting в графическом интерфейсе FortiInsight

 

Информация о событиях разбита на соответствующие категории, — Live, Compacted, System — в которых вы также можете пользоваться поиском.

На странице Network представлена статистика о сетевых событиях — сколько произошло операций, связанных с загрузкой данных из сети и выгрузкой из нее, каким странам принадлежат IP-адреса, которые были задействованы в рамках события, какие приложения, пользователи и устройства участвовали в сетевом обмене.

 

Рисунок 4. Страница Network в графическом интерфейсе FortiInsight

 Страница Network в графическом интерфейсе FortiInsight

 

Создание коллекции — это способ сделать снимок поиска с конкретным временем с целью анализа результатов в дальнейшем. Например, если вы считаете какое-то событие (или группу событий) необычным, то вы можете добавить их в коллекцию, а детально рассмотреть потом.

Если коллекция содержит поиск, который вы хотите выполнять регулярно (ежедневно, еженедельно, ежемесячно), вы можете обновить коллекцию, нажав на соответствующую кнопку.

Вы можете создавать коллекции, основанные на предупреждениях об угрозах (Policy и AI alerts) и на происходящих событиях.

Результаты поиска вы можете экспортировать в CSV-файл.

 

Создание и настройка политик

Политики FortiInsight в режиме реального времени проверяют события, информация о которых поступила с конечных устройств. Политика содержит набор критериев, по которым FortiInsight проверяет поступающие события и выдает предупреждения в случае несоответствия им.

 

Рисунок 5. Окно создания новой политики в FortiInsight

 Окно создания новой политики в FortiInsight

 

Вы можете настроить политики таким образом, чтобы FortiInsight отправлял вам предупреждения о конкретных действиях, и создать неограниченное количество политик.

В пункте Alerts вы можете посмотреть все предупреждения, которые были инициированы ранее созданными вами политиками.

 

Рисунок 6. Пункт Policy Alerts в графическом интерфейсе FortiInsight

 Пункт Policy Alerts в графическом интерфейсе FortiInsight

 

Если политика вписывается в рамки одного или нескольких наборов нормативных требований (будь то ISO, GDPR, внутренние нормативные акты предприятия и т. д.), то вы можете добавить их в пункте Frameworks.

Фреймворки (в данном случае) — своего рода ярлычки для наглядного понимания того, чему конкретно соответствует та или иная политика.

Аналогично вы можете присваивать политике метки в пункте Labels to assign.

 

Рисунок 7. Добавление Framework к политике в графическом интерфейсе FortiInsight

 Добавление Framework к политике в графическом интерфейсе FortiInsight

 

FortiInsight по умолчанию поставляется с несколькими политиками — вы можете использовать их «как есть», изменять под свои требования или брать за основу для своих будущих политик. Например: «не запускается служба антивируса», «использование программ для работы с командной строкой» и т. д.

 

Рисунок 8. Предустановленные политики в FortiInsight

 Предустановленные политики в FortiInsight

 

Предупреждения об угрозах и оценка риска

FortiInsight генерирует предупреждения об угрозах двух типов: первые — основанные на нарушении политик, вторые — созданные с помощью методов машинного обучения AI (Augmented Intelligence).

 

Рисунок 9. Отображение угроз за неделю в FortiInsight

 Отображение угроз за неделю в FortiInsight

 

Для того чтобы помочь вам определить возможную связь между угрозами и предоставить дополнительную информацию о возникшей ситуации, у FortiInsight имеется функция, которая покажет вам предупреждения, которые произошли примерно в то же время (за 5 минут до рассматриваемого инцидента и в течение 5 минут после него).

Расширенный интеллект (Augmented Intelligence, AI) оперирует такими понятиями, как обстановка (Context), риски (Risks) и оценки (Ratings) активности в вашей сети для определения полного спектра угроз. Он изучает основные факты нормального поведения для того, чтобы точно знать, когда происходит отклонение от него.

FortiInsight использует оценку риска, чтобы понять, насколько аномальным является событие. Например, ваши технические специалисты должны иметь возможность редактировать файлы приложений — в отличие, скажем, от сотрудников отдела маркетинга. Если SMM-щик начнет открывать системные файлы, FortiInsight, предварительно изучив обычную модель поведения в компании, поймет, что имеет место аномальная активность, и тут же сообщит о ней.

AI FortiInsight оценивает серьезность события, исходя из его степени риска и аномальности — т. е. насколько опасным является событие и как сильно оно выходит за рамки обычного поведения для конкретного пользователя. Если проявляется ненормальная активность с большой степенью опасности, то оценка серьезности будет высокой, а если риск невелик, и поведение вполне обычно — будет, соответственно, присвоена низкая оценка.

Аномальность — это величина отклонения от нормального поведения.

Риск — статическая оценка, выставляемая в зависимости от типа программы, данных или действий. Например, программа, которая осуществляет резервное копирование информации в облако, имеет средний уровень риска.

Степень риска одинаково оценивается как для угроз, сгенерированных правилами политик, так и для AI-инцидентов:

  • низкий: от 0 до 29;
  • средний: от 30 до 59;
  • высокий: от 60 до 100.

Вы можете помогать AI обучаться быстрее, оставляя положительный или отрицательный отзыв о тех угрозах, на которые он среагировал.

 

Рисунок 10. Пример отзыва на сообщение об угрозе в FortiInsight

 Пример отзыва на сообщение об угрозе в FortiInsight

 

Помимо оценки того или иного события на аномальность, FortiInsight пытается классифицировать его и присваивает ему определенный тег (Tag) в зависимости от характеристик. Например, сотрудника, который редактирует на рабочем месте свое резюме, AI отмечает как того, кто потенциально может уволиться, присваивая событию тег «Potential Leaver». Также он может пометить тегом «Malicious File» приложение, если оно похоже на программу-вымогателя.

 

Рисунок 11. Пример присваивания тега событию в FortiInsight

 Пример присваивания тега событию в FortiInsight

 

Искусственному интеллекту FortiInsight нужно две недели, чтобы обучиться и сформировать для себя картину нормального поведения в вашей организации, после чего он автоматически переходит в режим обнаружения и начинает реагировать на угрозы.

 

Использование дашбордов и создание виджетов

На информационных панелях (Dashboards) отображаются в удобном графическом виде сводные данные обо всех действиях, которые происходят внутри вашей компании. Соответствующий пункт меню включает в себя пять разделов, в том числе один настраиваемый пользователем “дашборд” и четыре предустановленных:

  • компьютерная криминалистика (Forensic Activity);
  • угрозы (Alerts);
  • потоки данных (Data Flow);
  • приложения (Applications).

 

Рисунок 12. Пример того, как может выглядеть “дашборд”, настроенный под пользовательские нужды в FortiInsight

 Пример того, как может выглядеть “дашборд”, настроенный под пользовательские нужды в FortiInsight

 

Каждая панель содержит различные графики, на которых показана информация о событиях, пользователях и угрозах. Вы можете настраивать существующие элементы либо создавать новые виджеты для отображения нужных вам метрик.

 

Рисунок 13. Пример создания пользовательского виджета в FortiInsight

 Пример создания пользовательского виджета в FortiInsight

 

Формирование отчетов об угрозах

На вкладке Threat Report представлены автоматические отчеты и приведены рекомендации администраторам по настройке FortiInsight для обеспечения безопасности по следующим пунктам:

  • активность пользователей и приложений, отмеченная как особо опасная;
  • хранение конфиденциальных файлов на локальном или съемном носителе;
  • обнаружение хакерских утилит и программ взлома;
  • хранение логинов и паролей в открытом виде;
  • использование облачных хранилищ.

 

Рисунок 14. Окно со страницей Threat Report в веб-консоли в FortiInsight

 Окно со страницей Threat Report в веб-консоли в FortiInsight

 

Вы можете экспортировать данные из отчетов в CSV- или JSON-файлы и перейти на страницу с запросами, на основании которых был создан соответствующий отчет.

 

Рисунок 15. Пример с окном действий и рекомендаций для пункта Cloud Storage в FortiInsight

 Пример с окном действий и рекомендаций для пункта Cloud Storage в FortiInsight

Пример с окном действий и рекомендаций для пункта Cloud Storage в FortiInsight

 

 

Расследование инцидентов

Функция «Расследование» (Investigation) необходима для накопления информации об угрозах в одном месте, с целью создания отчетов о них и дальнейшего предоставления заинтересованным лицам (например, для демонстрации отделу кадров или правоохранительным органам).

Открыв страницу с подробной информацией о возникшей угрозе, вы можете начать расследование (либо добавить этот инцидент к уже существующему).

Начатое расследование будет иметь следующие параметры:

  • владельцы (Owners);
  • краткое описание (Note);
  • текущий статус (Status) — “Доложено” (Reported), “Без действий” (No action) или “Закрыто” (Closed).

 

Рисунок 16. Пример начала расследования со страницы подробностей об угрозе в FortiInsight

 Пример начала расследования со страницы подробностей об угрозе в FortiInsight

 

Модель распространения

FortiInsight распространяется по годовой подписке с 25-ю агентскими лицензиями, образующими 1 пакет. Минимальный заказ должен включать 20 таких пакетов (т. е. 500 клиентских лицензий). При этом лицензия распространяется на облачный хостинг.

 

Выводы

Действия сотрудников компании, софт и рабочие станции, неконтролируемый доступ в глобальную сеть зачастую являются «ахиллесовой пятой» самой защищенной организации. Именно эту брешь в информационной безопасности и способен закрыть FortiInsight.

FortiInsight использует в своем арсенале алгоритмы машинного обучения для анализа событий, которые происходят в сети вашего предприятия. Возможность создания политик, а также их тонкая настройка, которую предоставляет FortiInsight, помогут осуществлять всесторонний контроль за деятельностью внутри организации, а при необходимости (практически в режиме реального времени) FortiInsight оповестит о факте нарушения департамент информационной безопасности. Помимо этого, FortiInsight обладает инструментами для визуализации событий в сети и средствами для криминалистического анализа инцидентов.

Достоинства:

  • низкое потребление ресурсов агентами, так как все вычисления происходят в облаке;
  • настройка предустановленных политик, а также создание новых;
  • автоматическое обнаружение угроз, основанное на методах машинного обучения;
  • FortiInsight может быть развернут в любой сети и дополнить уже существующую систему безопасности предприятия (разработчик не настаивает на исключительном использовании продуктов Fortinet для организации защиты информации);
  • формирование отчетов об угрозах и функционал для последующего расследования инцидентов;
  • настройка виджетов под пользовательские нужды.

Недостатки:

  • отсутствие мультиплатформенности (FortiInsight пока поддерживает только рабочие станции под управлением ОС Windows);
  • интерфейс программы на данный момент не переведен на русский язык.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.