Анализ поведения пользователя (User Behaviour Analytics). Как здесь может помочь Varonis?

    В современном мире серьезную угрозу информационной безопасности представляют утечки данных, которые происходят в результате случайных или преднамеренных действий самих пользователей информационных систем. Большинство утечек – это, так называемые «неструктурированные данные», то есть данные, которые созданы и используются самими пользователями и хранятся на файловых серверах или в почтовых ящиках пользователей. Таким образом, разумно было бы начать анализ состояния информационной безопасности изнутри, предположив, что потенциальный или уже действующий нарушитель уже находится внутри локальной сети. И чтобы понять, где возможна потенциальная утечка, необходимо выявить наличие конфиденциальных данных на файловом сервере и понять, кто имеет к ним доступ, и кто пользуется ими чаще всего. Кроме того, также следует выявить пользователей, которые не должны иметь доступ к конфиденциальной информации, потому что либо не пользуется этими данными, либо использует их очень редко.


    Следует отметить что компонент User Behaviour Analytics всегда был частью Varonis DatAdvantage собирает информацию о всех действиях пользователя на файловом сервере и показывает права доступа как отдельного пользователя к папке или файлу, так и пользователей, которые имеют доступ к файлу или папке. Отсюда можно легко понять, кто имеет доступ к файлу и пользуется им, а кто этот доступ иметь не должен по причине отсутствия активности при работе с информацией, либо в соответствии с определенными в компании политиками безопасности. Также можно построить определенный профиль пользователя – что он делает, в какие папки или почтовые ящики имеет доступ, как часто к ним обращается и т.п.

    Varonis также позволяет анализировать какую-то аномальную активность со стороны пользователей. Собирая статистику DatAdvantage в автоматическом режиме может выявить превышение активности пользователя в сравнении с его предыдущей деятельностью на файловом сервере. То есть, если пользователь, например, превысил свою среднюю дневную активность (по количеству действий с файлами на файловом сервере), то это может быть выявлено в автоматическом режиме со всей статистикой действий пользователей и логами. Таким образом, постфактум можно выявить аномальную активность пользователя, что может помочь при расследование различных инцидентов ИБ.
    Вы также можете получать уведомления об аномальной активности пользователей в режиме реального времени. Массовое удаление файлов или массовое копирование может указывать на определенную злонамеренную активность. Диапазон различных типов уведомлений очень широк. Если Вы хотите следить за удалением или копированием определенных файлов (например, содержащих конфиденциальную информацию), то это можно с легкостью настроить. Следует отметить, что пользователи уже не смогут использовать конфиденциальную информацию, и администраторы информационной безопасности не будут об этом знать.

    Другим важным аспектом поведения пользователей могут быть попытки неудачного доступа к файлам или папкам. Если один и тот же пользователей пытается открыть файлы или папки, к которым он не имеет доступа, возможно, следует обратить внимание на эту активность. Если же какая-то учетная запись в течение короткого времени пытается открыть множество файлов или папок, не имея доступа к ним, возможно это какая-то вирусная активность, что также является инцидентом информационной безопасности.
    Также важным аспектом анализа действий пользователя может быть аудит административных учетных записей. Для предотвращения утечки данных всегда полезно знать, какие учетные записи обладают административными правами, и какую деятельность они осуществляют на файловом сервере. Также можно отслеживать и процедуру повышения прав для определенной учетной записи. Было ли данное изменение согласовано с сотрудником ИБ и не противоречит ли оно политики безопасности, принятой в компании. Возможно, следует отслеживать также и наличие административного доступа к файлам, содержащим конфиденциальную информацию. Если он был осуществлен, то с какой целью и как часто это происходит.

    Работа с почтой – также важный аспект анализа поведения пользователей. Всегда полезно знать кто имеет доступ к определенному почтовому ящику, кто в этот ящик заходит и как пользуется данными, которые в нем находятся. Часто бывает, что пользователи даже не подозревают, что их почту может читать кто-то еще. И если кто-то отправляет сообщения от имени другого пользователя, то такие случаи, часто бывает сложно отследить без продукта, который подобную статистику собирает. Наличие информации о доступе к почтовому ящику также позволяет уменьшить избыточный доступ или отнять доступ у пользователей, которым такой доступ совсем не нужен.

    Анализ действий пользователей также предполагает и анализ действий не пользовательских учетных записей. Если под служебной учетной записью происходят действия, которые не должны происходить, то возможно, следует обратить на них внимание. Также легко можно мгновенно выявить работу программы-криптолокера, которая шифрует данные, в том числе и на файловым сервере. Работу криптолокера можно отследить как множественным модификациям файлов в течение короткого времени, так и по изменении расширения файла.

    Анализ поведения пользователя используется во многих решениях по информационной безопасности (в частности SIEM). Varonis DatAdvantage не пытается повторять функционал других решений, а использует свой подход, собирая информацию о работе с файлами и данными как на файловом сервере, так и в почтовых ящиках. Кроме того, следует отметить, что уведомления о каких изменениях на файловом сервере могут быть отправлены напрямую в SIEM-решение. В этом плане Varonis и SIEM могут дополнять друг друга, повышая эффективность обеспечения информационной безопасности.
    Varonis Systems
    Защита от внутренних угроз и комлексных кибератак

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое