FORTSCALE UEBA
1.00

Проблемы которые решает

Использование информационных систем компании сотрудниками в личных целях в рабочее время

Мошенничество клиентов

Несанкционированный доступ к ИТ системам и данным предприятия

Риск потери и повреждения данных

Риск потери доступа к данным и ИТ-системам

Несоответствие требованиям ИТ безопасности

Угрозы хакерских атак

Ценности

Сокращение затрат

Безопасность и непрерывность бизнеса

Соответствие требованиям

FORTSCALE UEBA

Система поведенческого анализа пользователей Fortscale предоставляет полный контекст при обнаружении действительного вредоносного поведения.

Описание

UBA становится все более изощренной, используя машинное обучение и анализ больших данных, чтобы точно идентифицировать истинную вредоносную активность в сети. Задача таких решений состоит в том, чтобы оптимизировать использование времени аналитиков безопасности, избегая ложных срабатываний и предоставляя им полный контекст, когда деятельность действительно считается вредоносной. Fortscale поднял свою игру в пространстве UBA с новым выпуском, который фокусируется на этих двух областях, в частности: сокращение ложных срабатываний и предоставление всестороннего понимания аномалий и индикаторов, поэтому у аналитика безопасности есть все в одном месте для проведения расследования. Решение Fortscale UBA работает в четыре этапа. Первый этап включает в себя прием данных доступа пользователя. Вместо развертывания агентов на конечных точках или других проприетарных сборщиках данных Fortscale получает данные из существующих журналов, которые отслеживают доступ пользователей. Данные могут поступать из SIEM или другой подобной системы. Fortscale ориентирован на профилирование доступа пользователей - когда, где и какой доступ пользователь имел со временем - и это информация, которая уже обычно собирается и хранится в журналах. Все данные поступают прямо в локальную базу данных Hadoop. Fortscale также берет контекстные данные из служб каталогов, чтобы понять, кто такие пользователи и какие права доступа они имеют на законных основаниях. Следующим шагом является получение всей этой информации о доступе пользователя/объекта и создание базового профиля для каждого пользователя. Этот профиль рассматривает пользователей с разных сторон, например, какие устройства человек обычно использует для доступа к сети, каковы типичные рабочие часы человека, и где он использует VPN для входа в сеть. Базовая линия строит данные с историей, чтобы система могла видеть то, что считается нормальным поведением в течение определенного периода времени. На третьем этапе используется анализ данных для выявления аномального поведения. Fortscale делает это несколькими способами. Одним из них является сравнение текущего поведения пользователя с его историей поведения. Например, возможно, он впервые вошел в систему из далекого местоположения в 2 часа ночи. Это может означать, что человек путешествует и не может спать, или это может означать, что его учетные данные были украдены, и злоумышленник использует их. Fortscale также сравнивает действия пользователя с действиями его сверстников - не обязательно сверстников в организационной структуре, но людей, которые выполняют те же самые обязанности и рабочие задания. Допустим, пользователь является разработчиком кода в Индии. Fortscale будет сравнивать свои действия по доступу с другими разработчиками в Индии, и, возможно, с другими разработчиками. Если система обнаруживает, что данный конкретный пользователь обращается к определенному серверу, и другие разработчики не обращаются к этому же серверу, это может считаться аномальным. Fortscale заявляет, что приложила немало усилий к своим аналитическим возможностям, чтобы система понимала, что является вредоносным, а не просто необычным действием сотрудника с целью отсеивания ложных срабатываний. Результатом всего этого сравнения является оценка риска для каждого события и для каждого пользователя. Эти оценки указывают на наиболее подозрительные действия, которые могут потребовать дальнейшего расследования. А в последнем выпуске программного обеспечения добавлены интеллектуальные оповещения Fortscale, которые упаковывают аномальные события в индикаторы и оповещения об угрозах, а затем представляют их на панели мониторинга в приоритетном порядке. Когда аналитик по безопасности смотрит на конкретное предупреждение, у него есть контекст, понимание и выводы относительно того, почему эту аномалию стоит исследовать. Поведение пользователя сложно предсказать. Вот почему детерминированные правила плохо работают при поиске подозрительной активности. UBA - это лучший на сегодняшний день инструмент для обнаружения злонамеренной инсайдерской активности.