Blindspotter

Продукт
Название базовой системы (платформы): BalaBit CSI Suite (Contextual Security Intelligence)
Разработчики: BalaBit IT Security
Дата премьеры системы: 2015/07/13
Дата последнего релиза: 2016
Технологии: ИБ - Антивирусы,  ИБ - Межсетевые экраны,  ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Blindspotter - средство мониторинга для обнаружения подозрительной пользовательской активности. Предназначено для анализа поведения пользователей в режиме реального времени: собирая сведения об их действиях, система позволяет обнаруживать подозрительные события в ИТ-системах.

Blindspotter — это ключевой компонент Contextual Security Intelligence (CSI) Suite. Blindspotter объединен с системой сбора, хранения и обработки текстовых логов (Log Management) и инструментами контроля и видеофиксации действий привилегированных пользователей (Privileged User Monitoring). Blindspotter способен также обрабатывать данные из SIEM и IAM-систем, каталогов LDAP/AD, облачных приложений и других источников информации. Работая вместе с Blindspotter, решение CSI Suite помогает сократить расходы, представляет выгодные предложения для проверки на соответствие законодательству и поддерживает непрерывность и устойчивость бизнес-процессов от влияния рисков нарушения информационной безопасности.

2016

Blindspotter версии 2016.03

В марте 2016 года Balabit, поставщик технологий контекстной информационной безопасности, известный как создатель решений Syslog-ng и Shell Control Box, на конференции RSA 2016 в Сан-Франциско анонсировал выпуск Blindspotter версии 2016.03.

Данная версия системы анализа поведения пользователей (User Behavior Analytics) включает в себя несколько новых уникальных алгоритмов машинного обучения, которые помогут отделу информационной безопасности быстро распознать взломанные учетные записи или обнаружить несанкционированную передачу аккаунта, что позволит избежать масштабных утечек данных. Blindspotter не только выявляет ранее неизвестные угрозы, но и точно визуализирует их, позволяя организациям значительно сократить время обнаружения, расследования и реагирования на внутренние и внешние атаки.

«Кроме существующего набора нескольких сложных алгоритмов машинного обучения, в новом релизе Blindspotter улучшен функционал мониторинга и анализа поведения пользователей: добавлена возможность определения автоматизированных действий личных аккаунтов и проводится биометрический анализ динамики нажатий клавиш клавиатуры и движения мыши сотрудника, отмечает Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit. — Blindspotter позволяет ИТ-директорам и специалистам по информационной безопасности получить полную и уникальную визуализацию происходящего в ИТ-инфраструктуре. Чтобы лучше понимать, как ИТ-сервисы используются определенными сотрудниками или группами пользователей, менеджеры могут получить мгновенную и осязаемую информацию для принятия мер. В целом можно отметить, что Blindspotter улучшает свойства и возможности существующих ИБ-решений в компании, помогая оптимизировать ИТ-ресурсы и повысить эффективность бизнес-процессов».

Ключевые особенности Blindspotter версии 2016.03:

  • Обнаружение системных учетных записей, используемых человеком, и личных аккаунтов, используемых в скриптах. Системные аккаунты, под которыми работают сотрудники, учетные записи общего пользования и личные аккаунты, используемые в скриптах, считаются потенциальных риском нарушения информационной безопасности в любой компании. Когда злоумышленник получает доступ к учетным данным, используемым в скрипте (особенно если речь идет об аккаунтах для административных задач), это может привести к масштабной утечке или уничтожению данных. Blindspotter способен отличить действия человека от автоматизированных операций и позволяет службе информационной безопасности обнаружить злоупотребления личными или служебными учетными записями.
  • Анализ содержимого, отображаемого на экране. Основываясь на возможностях Balabit Shell Control Box, одном из ведущих на рынке решений по контролю и мониторингу действий пользователей, Blindspotter способен анализировать команды, использованные в протоколах SSH и Telnet, и находить потенциально рисковые операции. Начиная с версии 2016.03 возможность детектирования рисковых операций также распространяется и на пользователей операционных систем Windows (рядовых, привилегированных или корпоративных), подключающихся к корпоративным системам через протокол удаленного рабочего стола (RDP). На основе анализа текста, появляющегося в графических протоколах на экране, взломанные учетные записи и внутренние злоумышленники теперь могут быть найдены и в среде Windows.
  • Биометрический анализ ввода данных пользователем. То, как мы работаем на наших компьютерах — это часть нашего цифрового отпечатка, характерная динамика нажатий клавиш клавиатуры и движения мышкой определяют нас так же, как и подпись на документах. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

2015

13 июля 2015 года компания BalaBit объявила о начале продаж продукта Blindspotter. Цель разработки - помочь организациям уменьшить влияние нацеленных угроз (APT) и обнаружить вредоносную внутреннюю активность, ускорить процесс расследования любых подозрительных действий.

Анализ действий пользователя Blindspotter, 2014

Blindspotter отслеживает и наглядно представляет активность пользователя в режиме реального времени, благодаря чему компании лучше понимают, что на самом деле происходит в сети. Решение собирает и анализирует события, имеющие отношение к пользователю, а также его активность внутри рабочей сессии, фиксируемую в режиме реального времени или с минимальной задержкой. Затем оно сравнивает каждое действие с соответствующим базовым состоянием (типичным поведением) пользователей для обнаружения аномалий в их поведении — например, входов под учетной записью администратора в нетипичные для них часы.

Blindspotter может обнаруживать аномалии на уровне команды, отличающейся от стандартного набора команд, используемого администратором. В этом случае, продукт подает сигнал службе безопасности. При наличии подозрительных факторов в работе ИТ-систем Blindspotter может также автоматически предпринять меры для минимизации угрозы.

Продукт разработан с учетом современных ключевых проблем безопасности и может предупреждать компании о возникновении следующих важных угроз:

  • Обнаружение взломанных учетных записей пользователей
    • Действия хакера, который завладел учетной записью, будут значительно отличаться от действий обычного пользователя; злоумышленник, пришедший извне, постарается создать карту ИТ-системы, обращаясь к различным системам и размещенным на них доступным службам, или начнет скачивать большие объемы данных, которые могут быть ему полезны.

  • Обнаружение злоупотребления привилегиями
    • Blindspotter может фиксировать попытки пользователя с высокими привилегиями украсть данные компании или получить доступ к копированию или изменению важных данных компании, которые не нужны ему для работы. Таким образом, утечку информации можно предотвратить.

  • Обнаружение злоупотребления в автоматизированной системе учета
    • Автоматизированная система учета, как правило, создается администраторами для повторения регулярных задач, таких как резервное копирование базы данных или перезапуск отдельных сервисов на ночь. Автоматизированная система учета повышает эффективность работы администраторов, однако, они берут на себя риск, используя собственные учетные записи для облегчения работы. В свою очередь, это большая угроза для безопасности компании: если хакер взломает скрипт, то он получит не только сведения об учетной записи

системного администратора, но и доступ ко всем службам, который имеется у него. Blindspotter позволяет настраивать разные учетные записи, используемые отдельно пользователями и для автоматизированной работы.

  • Анализ содержимого экрана
    • При использовании в сочетании с продуктом Shell Control Box Blindspotter может анализировать содержимое экрана пользователя, включая его команды, используемое прикладное программное обеспечение, а также любые текстовые данные, появляющиеся на мониторе. Это делает возможным обнаружение любых очевидных признаков целенаправленных угроз или серьезного злоупотребления привилегиями.

Золтан Дъёрку (Zoltán Györkő), генеральный директор BalaBit, поведал: «Для большинства компаний угрозы безопасности могут приходить не только извне. Это может быть и опытный хакер, получивший доступ к внутренней учетной записи, но также и злоумышленник из числа сотрудников, пытающийся украсть важные корпоративные данные. Раньше обнаружение внутренних угроз было очень проблематичной задачей. Blindspotter разработан специально для устранения этого пробела в безопасности и защиты критически важных данных без снижения скорости повседневных бизнес-процессов».


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (41)
  Другие (1203)

  Смарт-Софт (Smart-Soft) (5)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Аксофт (Axoft) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Национальный аттестационный центр (НАЦ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  ИВК (4)
  А-Реал Консалтинг (3)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 170)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (720, 500)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Check Point Software Technologies (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  А-Реал Консалтинг (2, 3)
  Вебмониторэкс (ранее WebmonitorX) (1, 2)
  Другие (7, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 82 (82, 0)
  ESET NOD32 Business Edition - 51 (51, 0)
  Dr.Web антивирус - 48 (12, 36)
  MaxPatrol SIEM - 35 (33, 2)
  Kaspersky Enterprise Space Security - 34 (34, 0)
  Другие 569

  Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  FortiOS - 2 (0, 2)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  Другие 12

  Solar MSS - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

  UserGate UTM - 4 (4, 0)
  UserGate C-серия Межсетевые экраны - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
  Другие 7

  ИВК Кольчуга - 4 (4, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 3 (3, 0)
  UserGate UTM - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  PT Application Firewall - 2 (0, 2)
  Другие 19

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (78)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (900)

  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (53)

  А-Реал Консалтинг (3)
  TUV Austria (2)
  Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
  Национальный аттестационный центр (НАЦ) (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  Национальный аттестационный центр (НАЦ) (3)
  Compliance Control (Комплаенс контрол) (3)
  МСС Международная служба сертификации (3)
  Другие (41)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  МСС Международная служба сертификации (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Кросс технолоджис (Cross Technologies) (1)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 368)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (368, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  Корп Софт (CorpSoft24) (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  R-Vision (Р-Вижн) (1, 1)
  Научно-производственное объединение Адаптивные промышленные технологии (Апротех) (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  CloudLinux (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  Лаборатория Касперского (Kaspersky) (2, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ESET NOD32 - 140 (26, 114)
  Kaspersky Business Space Security - 87 (87, 0)
  Kaspersky Endpoint Security - 82 (82, 0)
  Kaspersky Security - 81 (81, 0)
  Dr.Web антивирус - 62 (12, 50)
  Другие 127

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 2 (2, 0)
  Trend Micro: Deep Discovery - 2 (2, 0)
  FortiGate - 1 (1, 0)
  FortiManager - 1 (1, 0)
  Другие 4

  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  UserGate Proxy & Firewall - 1 (1, 0)
  Kaspersky IoT Secure Gateway - 1 (1, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
  Другие 2

  UserGate UTM - 4 (4, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Kaspersky Security - 2 (2, 0)
  F.A.C.C.T. Business Email Protection - 1 (1, 0)
  Другие 0

  UserGate UTM - 3 (3, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
  Kaspersky Antivirus - 1 (1, 0)
  Другие 0