BalaBit introduceert Blindspotter

BalaBit, leverancier van beveiligingsoplossingen en monitoringstechnologieën, introduceert zijn nieuwe-generatie IT-security-tool: Blindspotter. Deze realtime User Behaviour Analytics-tool (UBA) analyseert gebruikersactiviteiten en spoort verdachte gebeurtenissen op die voorkomen in het IT-systeem. De tool helpt organisaties de gevolgen van Advanced Persistent Threats (APT’s) te beperken en het onderzoeksproces van alle verdachte activiteiten te versnellen.

Blindspotter volgt en visualiseert gebruikersactiviteiten realtime en biedt organisaties zo een overzicht van wat er daadwerkelijk gebeurt op het netwerk. De oplossing verzamelt en analyseert gebruikersgerelateerde gebeurtenissen en gebruikerssessieactiviteiten realtime. Daarna vergelijkt de tool elke actie met de bijbehorende gebruikers en hun collega’s om afwijkingen in hun gedrag te signaleren. Een voorbeeld is een beheerder die inlogt buiten zijn normale uren.

Onregelmatigheden in opdrachten
Blindspotter is ook in staat onregelmatigheden op het niveau van geplaatste opdrachten te detecteren. De tool waarschuwt hierdoor zodra een systeembeheerder een opdracht plaatst die afwijkt van de – normaal gesproken – gebruikelijke opdrachten. Als zoiets is gesignaleerd, reageert Blindspotter automatisch om de impact van welke bedreiging dan ook te minimaliseren. De tool is ontwikkeld met het oog op de belangrijkste hedendaagse security-uitdagingen en moet organisaties waarschuwen voor bedreigingen als de onderstaande.

De oplossing biedt de volgende mogelijkheden:

• Opsporen van gehackte gebruikersaccounts - De activiteiten van een aanvaller die een legitiem account heeft geïnfecteerd, verschillen aanzienlijk van normale gebruikersactiviteiten. Externe aanvallers proberen doorgaans het IT-systeem in kaart te brengen door verschillende systemen binnen te dringen om beschikbare services te bekijken of een grote hoeveelheid data te downloaden – iets wat voor hen van waarde kan zijn. Blindspotter is in staat dit soort afwijkingen op te sporen en security-analisten daarvoor te waarschuwen.
• Opsporen van misbruik van privileges - Blindspotter kan helpen vaststellen of een gebruiker met veel rechten heeft geprobeerd bedrijfsdata te stelen en gevoelige bedrijfsdata te kopiëren of te wijzigen, terwijl dat voor zijn of haar functie niet noodzakelijk is. Op deze manier is een data breach te voorkomen.
• Opsporen van misbruik van geautomatiseerde systeemaccounts - Geautomatiseerde systeemaccounts worden meestal door beheerders gecreëerd om regelmatige taken te herhalen, zoals het back-uppen van de database of het ’s nachts opnieuw opstarten van bepaalde services. Geautomatiseerde systeemaccounts maken het werk van de beheerder efficiënter, maar in veel gevallen gebruiken beheerders daarvoor hun eigen inloggegevens. Dit vormt een beveiligingsrisico: als het script gehackt wordt heeft de aanvaller niet alleen de accountgegevens van de systeembeheerder, maar krijgt hij ook toegang tot alle services die de beheerder heeft. Met Blindspotter is het mogelijk onderscheid te maken tussen accounts die gebruikt worden door geautomatiseerde taken, en accounts die gebruikt worden door mensen.
• Afwijkingen in screencontent - Bij gebruik van Blindspotter in combinatie met Shell Control Box voor geprivilegieerde activiteitenmonitoring kan Blindspotter ook screencontent analyseren, zoals geplaatste opdrachten, toegepaste software en alle tekstuele data die op het scherm verschijnt. Zo is het mogelijk afwijkingen op te sporen, die duidelijke signalen afgeven van een APT-aanval of serieus privilegemisbruik.