Контроль действий пользователей
«ИНЛАЙН ГРУП» предлагает системы поведенческого анализа пользователей и сущностей для оперативного реагирования на угрозы во внутреннем периметре компании.
В случае проникновения злоумышленника в корпоративную сеть через системы защиты периметра, его редко удается обнаружить без специализированных средств и моментально пресечь дальнейшее закрепление и продвижения по сети.
Для этого существуют системы поведенческого анализа пользователей (UBA — user behavior analytics), решающие задачи обнаружения и отслеживания пользовательских и системных учетных записей, чье поведение отличается от стандартного и может поставить под угрозу безопасность систем и данных организации.
Системы поведенческого анализа пользователей и сущностей (UEBA — user and entity behavior analytics), в дополнение к анализу пользовательской активности, определяют отклонения в поведении сетевых, серверных устройств, рабочих станций, IOT-устройств, облачных и гибридных сервисов.
UBA и UEBA системы анализируют, агрегируют источники данных, такие как:
- журналы сетевых и северных устройств;
- журналы пользовательской активности;
- системы аутентификации;
- журналы VPN и прокси сервисов;
- другие внешние источники данных.
Преимущества UBA и UEBA систем:
- сведение в единое целое данных из разрозненных источников;
- обнаружение проникновений за периметр в кратчайшие сроки и моментальное оповещение специалистов ИБ о существующей угрозе;
- локализация скомпрометированных учетных записей (по причине фишинга, слабой политики паролей, утечки привилегированных УЗ);
- обнаружение подозрительных действия, совершаемых с помощью учетных записей (перебор паролей, повышение полномочий, неожиданные или необычные попытки получения доступа к различным системам и т.д.);
- обнаружение абнормального поведение сервисов и устройств организации;
- минимизация возможного урона от потери данных в случае закрепления злоумышленника в сети организации;
- тесная интеграция с уже использующимися SIEM, EDR, DLP системами организации для проведения ретроспективного анализа на основе ранее накопленных данных.
Основные принципы работы UBA и UEBA систем, позволяющие выявлять не только активные, но и потенциальные угрозы:
- постоянный сбор журналов активности пользователей и устройств;
- использование моделей статистического анализа, алгоритмов машинного обучения и известных сигнатур угроз для обработки больших наборов данных с различными действиями пользователей и устройств для построения стандартных моделей поведения;
- сравнение со стандартной моделью поведения для выявления различных отклонений и рисков;
- оценка рисков и определение, является ли отклонение угрозой безопасности или приемлемым.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.