Balabit – ספק מייצג במדריך גרטנר לניתוח התנהגות משתמשים וישויות
Balabit, ספקית מובילה של טכנולוגיות לאבטחת מידע הקשרית (contextual), הודיעה כי נקבעה כספק מייצג (Representative Vendor) במדריך של גרטנר (Gartner) לניתוח התנהגות של משתמשים וישויות, UEBA (ר"ת Gartner's Market Guide for User and Entity Behavior Analytics).
גרטנר זיהתה את Balabit כפלטפורמה עצמאית של UEBA.
Balabit מיוצגת בישראל על ידי NessPRO, קבוצת מוצרי התוכנה של נס.
בשוק ה-UEBA מתמקדת Balabit במיוחד במשתמשים בעלי הרשאות נרחבות (privileged users). משתמשים אלה מייצגים את הסיכון הגדול ביותר להתקפה מבפנים, וההרשאות שלהם הינן בעלות ערך רב ביותר לתוקפים חיצוניים. Blindspotter בונה פרופילים של משתמשים אלו ומנטר את התנהגותם בזמן אמת.
על פי גרטנר, "רוכשים (של פתרונות UEBA) מתמקדים בעיקר בניטור תוקפים חיצוניים שפרצו את הגנות הארגון וסיכנו חשבונות משתמשים, ובניטור איומים פנימיים המגבירים את הסיכון לארגון באמצעות פעילויות בלתי מורשות או בלתי חוקיות" (1). Blindspotter של Balabit תוכנן במיוחד כדי לענות על אותם הצרכים.
המדריך של גרטנר לניתוח התנהגות של משתמשים וישויות (UEBA) מציין כי "ספקי UEBA עצמאיים עדיין צריכים להפוך את ההיצע שלהם לשימוש ארגוני לבשל יותר, באמצעות יישום בקרות גישה, ממשקי משתמש לניהול חוקה, ודיווח ו-workflow עשירים יותר" (1).
ייעול הניטור של משתמשים בעלי הרשאות נרחבות
Blindspotter של Balabit משתלב בצורה הדוקה עם Shell Control Box, כלי ה-Privileged User Monitoring, מתוצרת החברה, כחלק מפלטפורמת Contextual Security Intelligence. ה-Blindspotter יכול להפסיק את החיבור של משתמש בעל הרשאה נרחבת (privileged user) אם ניקוד הסיכון שלו עולה על סף מוגדר מראש.
"אנו מתמקדים בייעול הניטור של משתמשים בעלי הרשאות נרחבות במקום להוסיף בקרות גישה נוספות שיכולות לעכב תהליכים עסקיים, ולכן אנו מספקים אבטחת מידע מוכחת בשוק מבלי להעמיס על המשתמשים אילוצים נוספים", אמר זולטן גיורקו, מנכ"ל Balabit וממייסדי החברה.
לדבריו, "מאחר ושיטות התקיפה מתפתחות כל הזמן, Blindspotter פועל מעבר לכללים שנקבעו מראש ומשתמש בלמידת מכונה על מנת לזהות את העקבות הדיגיטליים של משתמשים ולזהות חריגות מהתנהגויות בסיסיות המאותתות על איומים".
לזהות בתוך פרק זמן קצר פריצה למערכות המחשוב
"הפתרון שלנו הוא ייחודי בשל רמת פירוט הנתונים שאנו מקליטים ומנתחים. ה-audit trails של מודול ההקלטה – Shell Control Box – מאפשרים playback, בדומה לווידיאו, של פעילויות משתמש, החסינות לשינוי, כך שהן אינן יכולות להימחק על ידי התוקפים. Blindspotter, שהוא מודול ה-UEBA, מעבד את ה-audit trails האלה לצורך הניתוח ומספק אימות מתמשך המבוסס על יכולות זיהוי ביומטריות – כגון ניתוח של ההקשות על המקלדת" הוסיף גיורקו.
שי עוזרי, מנהל פתרונות סייבר ב-NessPRO, קבוצת מוצרי התוכנה של נס, מוסיף ש"אנחנו, אנשי הסייבר, כבר יודעים שזו לא שאלה אם יפרצו לארגון, אלא מתי. לכן, כל ארגון צריך יכולות טכנולוגיות על מנת לזהות בתוך פרק זמן קצר פריצה וניצול לרעה של מערכות מחשוב וחשבונות משתמשים. זהו בדיוק המקום שבו פתרונות UEBA נכנסים לתמונה ונותנים מענה על ידי זיהוי חריגות מההתנהגות הנורמלית והמוכרת".
Shell Control Box של Balabit מקליטה נתונים מפורטים יותר על משתמשים בעלי הרשאות נרחבות, מאשר מערכות ניהול לוגים. נתונים מפורטים אלה מאפשרים ל-Balabit לספק תכונות ייחודיות, כולל:
● Keystroke Dynamics Analysis ו-Mouse Movement Analysis – מזהות פריצות ומשמשות כשכבה נוספת של אימות ביומטרי.
● Command Analysis ו-Window Title Analysis – ניתוח הבונה את פרופיל ההתנהגות הבסיסית האישי של הפקודות והאפליקציות שבהן משתמש בעל הרשאות נרחבות עושה שימוש באופן רגיל.
● Automated Intervention – מלבד שליחת התראות לאנליסטים העוסקים באבטחת מידע או הודעה למשתמשים על התנהגות חשודה, Blindspotter יכול למנף בזמן אמת את Shell Control Box במהלך אירועים, כדי להפסיק את החיבור של חשבון שנחשד כפרוץ או חשבון בו משתמשים באופן זדוני.
● Tamper-Proof Audit Trails – ה-Audit Trails של Shell Control Box הם מקורות הנתונים החשובים ביותר של Blindspotter, ובניגוד ללוגים, הם לגמרי חסינים לשינוי, ותוקפים אינם יכולים למחוק אותם או לשנותם.
ניתן לקרוא את הדו"ח המלא בקישור Market Guide for Market Guide for User and Entity Behavior Analytics.
(1) Gartner, Inc. "Market Guide for Market Guide for User and Entity Behavior Analytics" by Toby Bussa, Avivah Litan, Tricia Phillips, 8 December 2016.