Повышение информационной безопасности с помощью анализа пользователей

24 октября 2015 14:58


Практика борьбы с киберзлоумышленниками показывает, что кроме атак корпоративной сети из внешнего мира, все большую опасность представляют внутренние атаки, когда преступник получает доступ изнутри системы. К сожалению, квалификация и техническое оснащение хакеров продолжает улучшаться, а в находчивости и дерзости они никогда не испытывали дефицита. Последние случаи взлома таких крупных компаний, как Ashley Madison или Sony продемонстрировали значительное усложнение хакерских атак. Преступники долго действовали внутри корпоративной сети, будучи не замеченными другими пользователями и системами безопасности. Нацеленность защитного инструментария на оборону ИТ-инфраструктуры компании от атак извне, а не от собственных сотрудников, у которых уже есть доступ, делает корпоративную сеть весьма уязвимой против инсайдерских взломов.

 

Действия собственных работников нужно анализировать

Современные атаки на ИТ-инфраструктуру предприятий являются комплексными, злоумышленники используют социальную инженерию, добытые различными способами (в том числе обычными преступлениями) знания о внутреннем устройстве и уязвимостях информационной инфраструктуры компании. Бандиты используют комплексный подход для получения несанкционированного доступа к внутренней сети.

 

Следовательно, в систему защиты от хакерских атак необходимо добавить еще один уровень — контроль пользователей. Эти мероприятия называются UBA аналитикой и дают возможность:

 

  • Распознавать подозрительную активность пользователя и своевременно обнаруживать новые, ранее неизвестные угрозы, исходящие изнутри компании;
  • Повысить эффективность работы экспертов по безопасности;
  • Снизить вероятность нарушений безопасности и степень их влияния на работы компании;
  • Улучшить защиту и адаптивность системы безопасности.

 

Данная система анализирует действия внутренних и внешних пользователей в корпоративной сети. Если UBA система обнаруживает отклонения от обычных действий, служба безопасности может сосредоточиться на этих событиях, проанализировать их. А на основании выводов внести изменения в систему управления. Таким образом, не только устраняются узкие места в безопасности, но и повышается эффективность бизнес-процессов в предприятии.

 

Практика показывает, что если данные компании или ее сотрудников представляют интерес для преступников, они не устанут искать способы взломать корпоративную сеть тем или иным способом, пока не получат необходимую информацию. То есть, вопрос не в том, смогут ли они в принципе попасть внутрь инфраструктуры компании, а в наличии технических и организационных решений, позволяющих обнаружить злоумышленников до того, как они нанесут ущерб.

 

UBA-аналитика

 

Как работает UBA-анализ

Средства, анализирующие модели поведения для обнаружения и отражения атак уже используются в современных комплексах ИТ-безопасности. Как правило, применяется эвристический анализ возможных атак и пополняема библиотека данных о возможных направлениях и методах атак. Однако существующие системы управления данными о безопасности и службы обнаружения вторжений (SIEM и IDS) применяют анализ на основе тех моделей поведения, которые составил поставщик решения или впоследствии внесли администраторы компании. Слабость данной защиты в том, что она способна отражать только уже известные, ранее исследованные виды атак. Любую технику нападения нового типа, по неизвестной модели, классические решения ИТ-безопасности остановить не могут.

 

Технологии UBA, использующие данные учетной записи сотрудника компании, отлично защищают от АРТ-атак. Подобные решения, анализирующие деятельность пользователей дополняют традиционные системы безопасности, которые, даже при «многослойной» защите, довольно однобоки и не отвечают современным требованиям.

 

Решения безопасности по технологии UBA, как правило, не требуют дополнительных программ-агентов или внутренних сканнеров. UBA использует существующие данные, в большом количестве накапливаемые ИТ-инфраструктурой. Ведь каждый пользователь совершает множество событий, который фиксируются в различных журналах приложений, протоколах событий в сети и доступа к информации, системах управления безопасностью информации. И технология UBA, без дополнительного мониторинга работы сотрудников, собирает данные из существующих журналов и хранилищ, а затем анализирует их. На основании такого анализа создает «эталон» модель типичного поведения пользователя (время работы, к каким данным обращается, какими инструментами и службами пользуется). При создании подобных профилей системы UBA используют различные интеллектуальные алгоритмы и системы машинного самообучения.

 

В дальнейшем система безопасности будет в режиме реального времени сравнивать текущие действия пользователя системы с его эталонным профилем. Если хакер взломает учетную запись, то его действия в системе будут отличаться от типичной работы пользователя и эти аномалии будут своевременно обнаружены. В том случае если пользователь будет регистрироваться в сети в нетипичное время, подключаться из новых локаций, обращаться серверам, которые обычно не использует, администраторы безопасности будут извещены об этом и смогут проанализировать активность конкретной учетной записи.

 

Таким образом, мероприятия по анализу работы пользователей и обнаружению аномалий являются мощным инструментом раннего выявления угроз. Ведь перед атакой злоумышленник осуществляет разведку, изучение инфраструктуры изнутри. Служба безопасности сможет своевременно обнаружить проникновение и принять меры. Также важно наличие в UBA системах функций автоматического реагирования (от отсылки сообщений администраторам до временной блокировки подозрительной учетной записи), которое уменьшает время, в течение которого нарушитель может принять дополнительные меры по сокрытию своей деятельности или похищению данных.





Обсудить материал (0)





Правила информационной безопасности, которые следует выполнять всем

С каждым годом увеличивается зависимость людей от информационных технологий, которые хоть и делают жизнь более комфортной, но и приносят новые опасности. Даже если человек не боится слежки со стороны спецслужб и ему нечего скрывать от конкурентов, есть некоторые правила информационной безопасности, которые следует соблюдать абсолютно всем пользователям компьютеров и интернета. Существует три действия, которые рекомендуется выполнить каждому, хотя бы один раз в год.

Читать далее...

Системные проблемы безопасности всех популярных облачных хранилищ

Облачные хранилища подкупают своим удобством и возможность переложить задачу сохранности данных на стороннего провайдера, который может исчезнуть или «сломаться» с гораздо меньшей вероятностью, чем ваш компьютер. Однако обеспечение сохранности и защита информации от несанкционированного доступа, это две разные задачи, в том числе по сложности. Ибо чащ злоумышленники хотят прочитать чужие файлы, а не удалить их. Обычные пользователи часто воспринимают безопасность и секретность данных как использование надежных паролей. Как показывают исследования экспертов по безопасности тут все сложнее.

Читать далее...

Экспертный комментарий ESET по поводу атаки на сервис коллективных покупок LivingSocia

Комментарий ведущего вирусного аналитика ESET Артема Баранова по поводу инцидента с масштабным взломом сервиса коллективных покупок LivingSocial:

«Взлом столь крупного сервиса, каким является LivingSocial, причиняет ущерб не только данным пользователей, но и наносит колоссальный урон репутации компании-разработчика. Ведь, как правило, хищение информации в таких объемах становится возможным из-за недоработки в системе безопасности сервиса.

 

Читать далее...

Петербург: силовые удары по факту

Перед саммитом «Большой восьмерки» Петербург сотрясают серии коротких, но мощных ударов по контрафакту. В числе первых жертв пали известная сеть магазинов аудио-видео продукции «505» и сотовый ритейл – группа Teleko и ВВП. 6 мая милицией Санкт-Петербурга была задержана партия из 40 тыс. телефонов Nokia (около 15 млн. долларов).

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов