Blindspotter

Продукт
Название базовой системы (платформы): BalaBit CSI Suite (Contextual Security Intelligence)
Разработчики: BalaBit IT Security
Дата премьеры системы: 2015/07/13
Дата последнего релиза: 2016
Технологии: ИБ - Антивирусы,  ИБ - Межсетевые экраны,  ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Blindspotter - средство мониторинга для обнаружения подозрительной пользовательской активности. Предназначено для анализа поведения пользователей в режиме реального времени: собирая сведения об их действиях, система позволяет обнаруживать подозрительные события в ИТ-системах.

Blindspotter — это ключевой компонент Contextual Security Intelligence (CSI) Suite. Blindspotter объединен с системой сбора, хранения и обработки текстовых логов (Log Management) и инструментами контроля и видеофиксации действий привилегированных пользователей (Privileged User Monitoring). Blindspotter способен также обрабатывать данные из SIEM и IAM-систем, каталогов LDAP/AD, облачных приложений и других источников информации. Работая вместе с Blindspotter, решение CSI Suite помогает сократить расходы, представляет выгодные предложения для проверки на соответствие законодательству и поддерживает непрерывность и устойчивость бизнес-процессов от влияния рисков нарушения информационной безопасности.

2016

Blindspotter версии 2016.03

В марте 2016 года Balabit, поставщик технологий контекстной информационной безопасности, известный как создатель решений Syslog-ng и Shell Control Box, на конференции RSA 2016 в Сан-Франциско анонсировал выпуск Blindspotter версии 2016.03.

Данная версия системы анализа поведения пользователей (User Behavior Analytics) включает в себя несколько новых уникальных алгоритмов машинного обучения, которые помогут отделу информационной безопасности быстро распознать взломанные учетные записи или обнаружить несанкционированную передачу аккаунта, что позволит избежать масштабных утечек данных. Blindspotter не только выявляет ранее неизвестные угрозы, но и точно визуализирует их, позволяя организациям значительно сократить время обнаружения, расследования и реагирования на внутренние и внешние атаки.

«Кроме существующего набора нескольких сложных алгоритмов машинного обучения, в новом релизе Blindspotter улучшен функционал мониторинга и анализа поведения пользователей: добавлена возможность определения автоматизированных действий личных аккаунтов и проводится биометрический анализ динамики нажатий клавиш клавиатуры и движения мыши сотрудника, отмечает Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit. — Blindspotter позволяет ИТ-директорам и специалистам по информационной безопасности получить полную и уникальную визуализацию происходящего в ИТ-инфраструктуре. Чтобы лучше понимать, как ИТ-сервисы используются определенными сотрудниками или группами пользователей, менеджеры могут получить мгновенную и осязаемую информацию для принятия мер. В целом можно отметить, что Blindspotter улучшает свойства и возможности существующих ИБ-решений в компании, помогая оптимизировать ИТ-ресурсы и повысить эффективность бизнес-процессов».

Ключевые особенности Blindspotter версии 2016.03:

  • Обнаружение системных учетных записей, используемых человеком, и личных аккаунтов, используемых в скриптах. Системные аккаунты, под которыми работают сотрудники, учетные записи общего пользования и личные аккаунты, используемые в скриптах, считаются потенциальных риском нарушения информационной безопасности в любой компании. Когда злоумышленник получает доступ к учетным данным, используемым в скрипте (особенно если речь идет об аккаунтах для административных задач), это может привести к масштабной утечке или уничтожению данных. Blindspotter способен отличить действия человека от автоматизированных операций и позволяет службе информационной безопасности обнаружить злоупотребления личными или служебными учетными записями.
  • Анализ содержимого, отображаемого на экране. Основываясь на возможностях Balabit Shell Control Box, одном из ведущих на рынке решений по контролю и мониторингу действий пользователей, Blindspotter способен анализировать команды, использованные в протоколах SSH и Telnet, и находить потенциально рисковые операции. Начиная с версии 2016.03 возможность детектирования рисковых операций также распространяется и на пользователей операционных систем Windows (рядовых, привилегированных или корпоративных), подключающихся к корпоративным системам через протокол удаленного рабочего стола (RDP). На основе анализа текста, появляющегося в графических протоколах на экране, взломанные учетные записи и внутренние злоумышленники теперь могут быть найдены и в среде Windows.
  • Биометрический анализ ввода данных пользователем. То, как мы работаем на наших компьютерах — это часть нашего цифрового отпечатка, характерная динамика нажатий клавиш клавиатуры и движения мышкой определяют нас так же, как и подпись на документах. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

2015

13 июля 2015 года компания BalaBit объявила о начале продаж продукта Blindspotter. Цель разработки - помочь организациям уменьшить влияние нацеленных угроз (APT) и обнаружить вредоносную внутреннюю активность, ускорить процесс расследования любых подозрительных действий.

Анализ действий пользователя Blindspotter, 2014

Blindspotter отслеживает и наглядно представляет активность пользователя в режиме реального времени, благодаря чему компании лучше понимают, что на самом деле происходит в сети. Решение собирает и анализирует события, имеющие отношение к пользователю, а также его активность внутри рабочей сессии, фиксируемую в режиме реального времени или с минимальной задержкой. Затем оно сравнивает каждое действие с соответствующим базовым состоянием (типичным поведением) пользователей для обнаружения аномалий в их поведении — например, входов под учетной записью администратора в нетипичные для них часы. Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.1 т

Blindspotter может обнаруживать аномалии на уровне команды, отличающейся от стандартного набора команд, используемого администратором. В этом случае, продукт подает сигнал службе безопасности. При наличии подозрительных факторов в работе ИТ-систем Blindspotter может также автоматически предпринять меры для минимизации угрозы.

Продукт разработан с учетом современных ключевых проблем безопасности и может предупреждать компании о возникновении следующих важных угроз:

  • Обнаружение взломанных учетных записей пользователей
    • Действия хакера, который завладел учетной записью, будут значительно отличаться от действий обычного пользователя; злоумышленник, пришедший извне, постарается создать карту ИТ-системы, обращаясь к различным системам и размещенным на них доступным службам, или начнет скачивать большие объемы данных, которые могут быть ему полезны.

  • Обнаружение злоупотребления привилегиями
    • Blindspotter может фиксировать попытки пользователя с высокими привилегиями украсть данные компании или получить доступ к копированию или изменению важных данных компании, которые не нужны ему для работы. Таким образом, утечку информации можно предотвратить.

  • Обнаружение злоупотребления в автоматизированной системе учета
    • Автоматизированная система учета, как правило, создается администраторами для повторения регулярных задач, таких как резервное копирование базы данных или перезапуск отдельных сервисов на ночь. Автоматизированная система учета повышает эффективность работы администраторов, однако, они берут на себя риск, используя собственные учетные записи для облегчения работы. В свою очередь, это большая угроза для безопасности компании: если хакер взломает скрипт, то он получит не только сведения об учетной записи

системного администратора, но и доступ ко всем службам, который имеется у него. Blindspotter позволяет настраивать разные учетные записи, используемые отдельно пользователями и для автоматизированной работы.

  • Анализ содержимого экрана
    • При использовании в сочетании с продуктом Shell Control Box Blindspotter может анализировать содержимое экрана пользователя, включая его команды, используемое прикладное программное обеспечение, а также любые текстовые данные, появляющиеся на мониторе. Это делает возможным обнаружение любых очевидных признаков целенаправленных угроз или серьезного злоупотребления привилегиями.

Золтан Дъёрку (Zoltán Györkő), генеральный директор BalaBit, поведал: «Для большинства компаний угрозы безопасности могут приходить не только извне. Это может быть и опытный хакер, получивший доступ к внутренней учетной записи, но также и злоумышленник из числа сотрудников, пытающийся украсть важные корпоративные данные. Раньше обнаружение внутренних угроз было очень проблематичной задачей. Blindspotter разработан специально для устранения этого пробела в безопасности и защиты критически важных данных без снижения скорости повседневных бизнес-процессов».


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (3, 4)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (1, 2)
  Другие (0, 0)