BalaBit introduceert Blindspotter: realtime User Behaviour Analytics-tool

  1. 13 jul 2015
  2. 0 reacties

BalaBit introduceert zijn nieuwe-generatie IT-security-tool: Blindspotter. Dit is een realtime User Behaviour Analytics-tool (UBA) die gebruikersactiviteiten analyseert en verdachte gebeurtenissen opspoort, die voorkomen in het complete IT-systeem. De tool helpt organisaties de gevolgen van Advanced Persistent Threats (APT’s) te beperken en het onderzoeksproces van alle verdachte activiteiten te versnellen.

Blindspotter volgt en visualiseert gebruikersactiviteiten realtime en biedt organisaties zo een beter overzicht van wat er daadwerkelijk gebeurt op het netwerk. De oplossing verzamelt en analyseert gebruikersgerelateerde gebeurtenissen en gebruikerssessieactiviteiten realtime. Daarna vergelijkt de tool elke actie met de bijbehorende gebruikers en hun collega’s met als doel afwijkingen in hun gedrag te signaleren. Een voorbeeld is een beheerder die inlogt buiten zijn normale uren. Blindspotter is zelfs in staat onregelmatigheden op het niveau van geplaatste opdrachten te detecteren. Dit betekent dat Blindspotter het beveiligingsteam waarschuwt als een systeembeheerder een opdracht plaatst, die afwijkt van de – normaal gesproken – gebruikelijke opdrachten. Als zoiets is gesignaleerd, reageert Blindspotter automatisch om de impact van welke bedreiging dan ook te minimaliseren.

De tool is ontwikkeld met het oog op de belangrijkste hedendaagse security-uitdagingen en moet organisaties waarschuwen voor bedreigingen als de onderstaande.

  • Opsporen van gehackte gebruikersaccounts

De activiteiten van een aanvaller die een legitiem account heeft geïnfecteerd, verschillen aanzienlijk van normale gebruikersactiviteiten. Externe aanvallers proberen doorgaans het IT-systeem in kaart te brengen door verschillende systemen binnen te dringen om beschikbare services te bekijken of een grote hoeveelheid data te downloaden – iets wat voor hen van waarde kan zijn. Blindspotter is in staat dit soort afwijkingen op te sporen en security-analisten daarvoor te waarschuwen.

  • Opsporen van misbruik van privileges

Blindspotter kan helpen vaststellen of een gebruiker met veel rechten heeft geprobeerd bedrijfsdata te stelen en gevoelige bedrijfsdata te kopiëren of te wijzigen, terwijl dat voor zijn of haar functie niet noodzakelijk is. Op deze manier is een data breach te voorkomen.

  • Opsporen van misbruik van geautomatiseerde systeemaccounts

Geautomatiseerde systeemaccounts worden meestal door beheerders gecreëerd om regelmatige taken te herhalen, zoals het back-uppen van de database of het ’s nachts opnieuw opstarten van bepaalde services. Geautomatiseerde systeemaccounts maken het werk van de beheerder efficiënter, maar in veel gevallen gebruiken beheerders daarvoor  hun eigen inloggegevens. Dit vormt een beveiligingsrisico: als het script gehackt wordt, heeft de aanvaller niet alleen de accountgegevens van de systeembeheerder, maar krijgt hij ook toegang tot alle services die de beheerder heeft. Met Blindspotter is het mogelijk onderscheid te maken tussen accounts die gebruikt worden door geautomatiseerde taken, en accounts die gebruikt worden door mensen.

  • Afwijkingen in screencontent

Bij gebruik van Blindspotter in combinatie met Shell Control Box – de BalaBit appliance voor geprivilegieerde activiteitenmonitoring – kan Blindspotter ook screencontent analyseren, zoals geplaatste opdrachten en toegepaste software, en alle tekstuele data die op het scherm verschijnt. Zo is het mogelijk afwijkingen op te sporen, die duidelijke signalen afgeven van een APT-aanval of serieus privilegemisbruik.

Zoltán Györkő, CEO van BalaBit: “Voor de meeste organisaties is het de realiteit dat security-bedreigingen al binnen hun netwerkgrenzen op de loer liggen – of het nu gaat om een doorgewinterde, externe aanvaller die toegang verkregen heeft tot een intern account, of een kwaadaardige insider die probeert data te stelen. Voorheen was het signaleren van aanvallen van binnenin de netwerkgrenzen heel moeilijk. Blindspotter is er om dit security-gat te dichten en bedrijfskritische data te beschermen zonder de dagelijkse werkzaamheden van een bedrijf te verstoren.”

   
Dossiers