internet zainteresowania/hobby technologie

Na czym polega analiza zachowań użytkownika uprzywilejowanego?

25.04.2017 | BalaBit

Elementem wspólnym dla większości najbardziej skomplikowanych cyberataków jest zdobycie przez atakującego danych uwierzytelniających do kont użytkowników uprzywilejowanych. Potwierdzają to wyniki ankiety przeprowadzonej podczas Thycotic’s Black Hat 2015, w której aż 45% hakerów wskazało konta uprzywilejowane jako ich „ulubiony” cel.

Kluczową częścią zarządzania bezpiecznym środowiskiem IT jest odpowiednie przechowywanie poświadczeń kont uprzywilejowanych i zabezpieczanie dostępu do systemów, z których korzystają użytkownicy uprzywilejowani.

Jest to niezwykle istotne, ponieważ uprzywilejowanymi użytkownikami są m.in. administratorzy sieci czy specjaliści zajmujący się bezpieczeństwem IT z uprawnieniami do wprowadzania zmian w całym środowisku IT firmy oraz z dostępem do poufnych informacji firmy, m.in.: danych personalnych pracowników, szczegółów wynagrodzeń czy danych finansowych.

Rozwiązania przeznaczone do zarządzania tymi użytkownikami, takie jak PIM (Privileged Identity Management – zarządzanie uprzywilejowanymi tożsamościami) czy PAM (Privileged Access Management – zarządzanie uprzywilejowanym dostępem) zasadniczo bazują na systemie zarządzania hasłami. Mogą one wprawdzie ograniczyć dostęp do sieci, ale nie uchronią organizacji przed niewłaściwym wykorzystaniem czy nadużyciem uprzywilejowanych kont.   

SYSTEM ZARZĄDZANIA HASŁAMI NIE WYSTARCZY

W momencie logowania się użytkownika do systemu, jedynym sposobem odróżnienia przyjaciela od wroga jest pojedyncze uwierzytelnienie – czy to za pomocą hasła, uwierzytelnienia wieloczynnikowego, czy systemu zarządzania hasłami. Podstawowym problemem takiego rozwiązania jest to, że uwierzytelnienie odbywa się tylko razy na początku sesji.

Po wykonaniu autoryzacji, użytkownik konta uprzywilejowanego – lub atakujący – może zrobić cokolwiek. Jeśli atakujący dostał się do systemu, wykorzystując np. metodę tzw. phishingu, może przejąć kontrolę nad komputerem danego użytkownika, pozyskać hasła zapisane w pamięci podręcznej oraz zdobyć dostęp do interesujących go poświadczeń. Może także przemieszczać się z jednego urządzenia na drugie w poszukiwaniu uprzywilejowanego użytkownika.

W takiej sytuacji niewiele można zrobić, by przeszkodzić atakującym w kradzieży wrażliwych danych, tym bardziej że organizacje w momencie „rozpoznawania terenu” przez atakującego często nawet nie wiedzą, że do ich środowiska IT dostał się intruz.

CYFROWE ŚLADY UŻYTKOWNIKA UPRZYWILEJOWANEGO

Uprzywilejowani użytkownicy korzystając z infrastruktury firmy zostawiają w całym systemie ślady swojej obecności. Ich działania pojawiają się w rejestrach zdarzeń, ścieżkach audytu i w wielu innych miejscach. Te ślady stanowią ogromną ilość cennych danych, które narzędzia PUBA (Privileged User Behavior Analytics), analizujące zachowanie użytkowników uprzywilejowanych, wykorzystują do budowania profili behawioralnych użytkownika.

Każdy uprzywilejowany użytkownik ma niepowtarzalny wzór zachowania, np. loguje się do systemu o stałych porach dnia i używa określonych poleceń. Pierwszym krokiem dla narzędzi PUBA – jest zebranie tych informacji. Dzięki skorelowaniu gromadzonych danych z różnymi algorytmami uczenia maszynowego można zbudować bazę tego, co jest "normalne" dla poszczególnych użytkowników.

Takie „cyfrowe” ślady  użytkowników z wysokimi uprawnieniami dostępu gromadzi Blindspotter firmy Balabit. Następnie na ich podstawie i za pomocą zaawansowanych algorytmów uczenia maszynowego, tworzy profil użytkownika, który staje się bazą do identyfikacji nietypowych aktywności, potencjalnie niebezpiecznych. Należą do nich np. niestandardowe godziny, kiedy użytkownik loguje się do sieci wewnętrznej firmy. Jeśli taka aktywność zostanie wykryta, zespół ds. bezpieczeństwa otrzymuje ostrzeżenie i może zapobiec naruszeniu danych przed jego wystąpieniem.

Blindspotter umożliwia zatem weryfikację w czasie rzeczywistym tego, czy osoba korzystająca z konta uprzywilejowanego jest faktycznie do tego uprawniona.

Rozwiązanie Balabitu do analizy zachowań użytkowników uprzywilejowanych jest częścią platformy Contextual Security Intelligence (CSI) – systemu bezpieczeństwa, który zwiększa wydajność i przejrzystość procesów bezpieczeństwa. Platforma obejmuje niezawodny system i aplikację do zarządzania rejestrami zdarzeń (Log Management) z kontekstowym, świadomym przetwarzaniem danych, monitoring uprzywilejowanych użytkowników (Privileged User Monitoring), tworzenie ich profili oraz analizę zachowań i ocenę ryzyka (User Behavior Analytics).  

informacje o firmie

O firmie Balabit

Balabit – firma założona na Węgrzech, w Budapeszcie - to wiodący dostawca kontekstowej technologii bezpieczeństwa z  misją zapobiegania naruszeniom danych bez ograniczania działalności biznesowej. Balabit działa na całym świecie poprzez lokalne biura w całej Europie i Stanach Zjednoczonych oraz poprzez sieć firm partnerskich.

Platforma firmy Balabit Contextual Security Intelligence™ Suite chroni w czasie rzeczywistym organizacje przed zagrożeniami związanymi z nadużywaniem wysokiego ryzyka i uprzywilejowanych kont. Rozwiązania obejmują niezawodny system i aplikację do zarządzania rejestrami zdarzeń (Log Management) z kontekstowym, świadomym przetwarzaniem danych, monitoring uprzywilejowanych użytkowników (Privileged User Monitoring) i analizę ich zachowania (User Behavior Analytics). Jednoczesne zastosowanie tych rozwiązań umożliwia zidentyfikowanie nietypowych czynności użytkownika i zapewnia szczegółową widoczność potencjalnych zagrożeń. Pracując w połączeniu z wdrożonymi już w firmie systemami bezpieczeństwa opartymi na kontroli, rozwiązania oferowane przez Balabit pozwalają na elastyczne podejście skoncentrowane na ludziach, które zwiększa bezpieczeństwo, nie tworząc przy tym dodatkowych barier dla działalności biznesowej. Firma założona w roku 2000 ma na swoim koncie 23 klientów z listy Fortune 100 wśród ponad miliona użytkowników korporacyjnych na całym świecie.

Więcej informacji na: www.balabit.com.

informacje o firmie

O firmie Balabit

Balabit – firma założona na Węgrzech, w Budapeszcie - to wiodący dostawca kontekstowej technologii bezpieczeństwa z  misją zapobiegania naruszeniom danych bez ograniczania działalności biznesowej. Balabit działa na całym świecie poprzez lokalne biura w całej Europie i Stanach Zjednoczonych oraz poprzez sieć firm partnerskich.

Platforma firmy Balabit Contextual Security Intelligence™ Suite chroni w czasie rzeczywistym organizacje przed zagrożeniami związanymi z nadużywaniem wysokiego ryzyka i uprzywilejowanych kont. Rozwiązania obejmują niezawodny system i aplikację do zarządzania rejestrami zdarzeń (Log Management) z kontekstowym, świadomym przetwarzaniem danych, monitoring uprzywilejowanych użytkowników (Privileged User Monitoring) i analizę ich zachowania (User Behavior Analytics). Jednoczesne zastosowanie tych rozwiązań umożliwia zidentyfikowanie nietypowych czynności użytkownika i zapewnia szczegółową widoczność potencjalnych zagrożeń. Pracując w połączeniu z wdrożonymi już w firmie systemami bezpieczeństwa opartymi na kontroli, rozwiązania oferowane przez Balabit pozwalają na elastyczne podejście skoncentrowane na ludziach, które zwiększa bezpieczeństwo, nie tworząc przy tym dodatkowych barier dla działalności biznesowej. Firma założona w roku 2000 ma na swoim koncie 23 klientów z listy Fortune 100 wśród ponad miliona użytkowników korporacyjnych na całym świecie.

Więcej informacji na: www.balabit.com.