31, май 2016  — 

Интервью с Петером Гъёнгёши (Peter Gyongyosi, компания Balabit), менеджером по продукту Blindspotter, последняя версия которого с новыми функциями анализа поведения пользователей (User Behavior Analytics) была анонсирована весной 2016 г.

Петер Гъёнгёши (Peter Gyongyosi) – менеджер по продукту Blindspotter компании Balabit

SN. Как расширились возможности Blindspotter с поддержкой поведенческого биометрического анализа динамики нажатия клавиш клавиатуры и движений мышью ?

П.Г. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

С введением биометрического анализа динамики нажатия клавиш клавиатуры и движений мышью возможности "внешних" хакеров, от использования чужих аккаунтов практически сведены к нулю. А постоянно развивающийся функционал поведенческой аналитики также позволяет минимизировать угрозы от внутренних инсайдеров.

SN. Как быстро происходит верификация пользователей по биометрии нажатия клавиш и движений мышки? Насколько устойчиво "узнает" система пользователя, например, в результате его попадания в стрессовые ситуации или ограниченного употребления им алкоголя?

П.Г. Верификация пользователя происходит за несколько секунд, т.е. системный администратор получает сигнал тревоги как только пользователь залогинился в сети и произвел первые действия. Что касается вопроса опьянения, то сотрудники Balabit провели тест — после выпитых четырех кружек пива система опознала пользователя!

Анализ биометрических данных в Blindspotter совершенно ненавязчив: он не требует никакого специального взаимодействия с пользователями. Им не нужно делать ничего особенного, они просто могут работать как обычно. Blindspotter вместе с Shell Control Box способен анализировать нажатия клавиш и движений мыши пользователя. Этот анализ не является частью одноразового входа в систему, он смотрит на сам процесс сессии. Blindspotter не нужно никаких специальных ресурсов для биометрического анализа или дополнительных устройств (например, клавиатуры особого типа, мыши или любого другого устройства), только соответствующие движения мыши и сведения о нажатии клавиш из Shell Control Box.

SN. Все проверки можно сделать локально или это требует подключения к облаку/мощному компьютеру?

П.Г. Blindspotter в настоящее время доступен в качестве локального решения. Нет необходимости подключаться к облачному сервису, чтобы заработал процесс анализа, все происходит локально.

При этом Blindspotter использует информацию из Shell Control Box и других баз данных, обрабатывает данные из SIEM и IAM-систем, сервисов LDAP/AD, облачных приложений и других источников информации.

SN. Как работает поведенческая аналитика?

П.Г. Blindspotter не полагается на единственную единовременную идентификацию, решение непрерывно наблюдает за активностью пользователей и распознает подозрительные действия. Позвольте объяснить суть концепции Blindspotter. Пользователи оставляют свои «отпечатки пальцев» по всей системе, когда используют инфраструктуру компании. Их действия записываются в протоколах, журналах аудита, бизнес-приложениях и многих других местах. Все это – колоссальный объем уже существующей информации. И первое, что делает Blindspotter – собирает ее.

Используя данные «наследивших» пользователей, можно определить их уровень «нормального» поведения: обычное время активности, используемые сервисы, способ взаимодействия с ними и др. Blindspotter применяет различные алгоритмы машинного обучения для создания профилей пользователей.

После того, как уровень «нормальности» определен, Blindspotter начинает сравнивать текущую активность пользователя с обычной и распознает нетипичное поведение в режиме реального времени. Blindspotter строит базовую модель поведения пользователя и определяет необычные активности путем присвоения баллов опасности соответствующим действиям пользователя.

Анализ пользовательского поведения (UBA — User Behavior Analytics): Blindspotter мониторит и анализирует действия пользователей сразу после того, как он или она успешно залогинились в системе, и замечает, если происходит что-то странное. Существующие решения базируются на одной или двух особенностях поведения, в то время как UBA -решение использует при анализе намного больше, например, время входа в систему, местоположение пользователя, используемая ОС и т.п.

Очень важно знать, что UBA -решение всегда основано на вероятности, возможности. Например, если системный администратор впервые обращается к серверу, это не значит, что он хочет выкрасть оттуда какие-то данные. Но это обращение не основано на его предыдущей деятельности, поэтому Blindspotter обращает на это внимание аналитика по безопасности.

Говоря о надежности сервиса, очень важно отметить, что Blindspotter применяет уникальную комбинацию современных алгоритмов научных данных. Вместо того чтобы пролагаться на единственный алгоритм «серебряной пули», Blindspotter объединяет результаты нескольких моделей больших данных, чтобы гарантировать, что хакеры не смогут остаться незамеченными.

SN. Можно ли автоматизировать действия сотрудников ИБ при достижении определенного уровня баллов опасности?

П.Г. Путем обнаружения подозрительных действий в режиме реального времени, появляется возможность реагировать на угрозу немедленно. Реакции могут быть разными, начиная простым уведомлением заканчивая приостановкой действующего аккаунта, и могут осуществляться как автоматически, так и с привлечением человека для получения детальной оценки ситуации.

SN. Поведение человека меняется, например, с возрастом, изменением условий труда и др. Как биометрический анализ реагирует на эти процессы?

П.Г. Поведение не статично, оно медленно меняется с течением времени. Но эти изменения не существенны для короткого промежутка времени — никто резко не становится старше на 25 лет с понедельника на вторник. Поскольку Blindspotter принимает во внимание алгоритмы за последние 30-90 дней, такие изменения не являются проблемой и уровень типичного поведения постепенно меняется сам, подстраивается. А вот, например, повышение сотрудника в должности, является более существенным действием для системы.

Повышение сотрудника в должности, является более важной причиной для активного реагирования системы, так как сотрудник пользуется новыми папками на сервере, ему требуются новые документы, время входа в систему и время нахождения может существенно поменяться.

SN. Каковы способы интеграции решения? Что для этого нужно? Может ли Blindspotter версии 03.2016 быть изменен и использоваться не в рамках пакета? Какова ваша политика продаж?

П.Г. Blindspotter— это единственное программное решение, которое работает на операционной системе Linux .

Blindspotter доступен в двух версиях: готовый продукт, который тесно взаимодействует с решением для лог-менеджмента syslog-ng и ShellControlBox, решением по записи удаленных сессий, внедрение которого не занимает больше 3-5 дней. Blindspotter способен также обрабатывать данные из SIEM и IAM -систем, каталогов LDAP/AD, облачных приложений (Salesforce, GoogleApps, AWS) и других источников информации.

Blindspotter способен запоминать данные из истории пользователя и в то же время создавать пользовательский профайл. Наши партнеры по распространению готовы развернуть такую версию решения Blindspotter.

Набор инструментальных средств Blindspotter может быть кастомизирован (адаптирован под пользователя). Например, можно настроить получение информации из широкого спектра источников данных. Проверенная и масштабируемая технология syslog-ng может быть использована для фильтрации и предварительной обработки данных, а также с помощью языка Python можно создать полностью настраиваемого сборщика данных. Есть возможность настройки гибкого конвейера обработки сообщений, который умеет запускать алгоритмы машинного обучения на различных типах входных данных и объединять результаты. Такая гибкость позволяет Blindspotter выступать в качестве инструментария, который может спасти клиентов, желающих создать свою собственную лабораторию аналитики безопасности, предоставляя им эффективные, тщательно протестированные и оптимизированные версии самых полезных алгоритмов. В настоящее время набор инструментальных средств доступен только через консультационные проекты, в которых мы вместе с клиентом работаем над созданием инфраструктуры.