Skuteczne zabezpieczenie środowiska IT jest jednym z największych wyzwań dla firm na całym świecie. Liczba nowych wirusów, cyberataków lub kradzieży danych rośnie z roku na rok. Największym zagrożeniem bezpieczeństwa są pracownicy, choć często w wyniku nieświadomych działań. Dwie trzecie organizacji uważa, że ataki ze strony przestępców wewnętrznych lub przypadkowe naruszenia bezpieczeństwa są bardziej prawdopodobne niż ataki z zewnątrz.[1] Dlatego bardzo ważne dla bezpieczeństwa organizacji jest proaktywne zabezpieczenie środowiska IT i wykrywanie podejrzanej aktywności użytkownika zanim dojdzie do naruszenia danych. Zasada „lepiej zapobiegać, niż leczyć” powinna być myślą przewodnią wszystkich działań na rzecz bezpieczeństwa organizacji. Badania pokazują, że średnio aż 191 dni zajmuje zidentyfikowanie naruszenia danych, a 66 dni potrzeba na ich „wygaszenie”. Ponadto w przypadku firm działających globalnie średni koszt naruszenia danych to aż 3,62 miliona USD.[2]
Wykrywanie potencjalnych zagrożeń i podejrzanych zachowań w środowisku Microsoft jest trudnym zadaniem. Tradycyjne rozwiązania do wykrywania zagrożeń generują ogromną ilość alertów (w dużej części są to fałszywe alarmy), których dokładne sprawdzenie przez zespoły IT jest niemożliwe. Dlatego organizacje potrzebują rozwiązania, które umożliwi zautomatyzowane i inteligentne wykrywanie oraz analizowanie i usuwanie rzeczywistych zagrożeń. Zapewni to – nowe rozwiązanie firmy Quest – Change Auditor Threat Detection, które zostanie udostępnione w marcu br.
Quest Change Auditor Threat Detection analizuje aktywność użytkowników i pozwala wykryć nietypowe zachowania, które zagrażają bezpieczeństwu danych. Rozwiązanie wykorzystuje nowoczesne technologie, m.in. uczenia maszynowego, analitykę behawioralną użytkowników UEBA (User and Entity Behavior Analytics), technologię korelacji SMART (Significant Multidimensional Anomaly Reduction Technology) i zaawansowane algorytmy oceny zachowań.
Analiza działań użytkownika
Quest Change Detector Threat Detection analizuje w czasie rzeczywistym miliony logów obejmujących aktywności użytkowników, np. działania uwierzytelniające, zmiany w Active Directory czy dostęp do plików. W oparciu o uczenie maszynowe i analizy zachowań rozwiązanie tworzy wielowymiarową linię bazową typowego zachowania dla każdego użytkownika w środowisku IT. Obejmuje ona unikalny zestaw identyfikatorów, który zawiera szczegółowe informacje o tym, kiedy zazwyczaj dany użytkownik się loguje, z której stacji roboczej korzysta, czy loguje się również z innych lokalizacji, do których plików zwykle ma dostęp itd. Linie bazowe zachowań użytkowników są stale aktualizowane i poprawiane pod względem dokładności.
Wykrywanie anomalii
Do wykrywania w czasie rzeczywistym anomalii w aktywności użytkowników Quest Change Detector Threat Detection wykorzystuje predefiniowane wskaźniki zagrożenia oraz zaawansowaną analizę potencjalnych zagrożeń. Wskaźniki zagrożenia określają ryzykowne działania, takie jak podejrzane logowania użytkowników, nietypowe zmiany Active Directory czy w dostępie do pliku. Ponadto narzędzie wykorzystuje uczenie maszynowe do identyfikacji nowych wzorców zdarzeń, które mogłyby wskazywać na zagrożenie.
Inteligentna technologia
SMART (Significant Multidimensional Anomaly Reduction Technology) jest technologią korelacji danych, która zapewnia analizę i sortowanie wyników zachowań użytkowników. W czasie rzeczywistym identyfikuje i koreluje niepowtarzalne sekwencje zachowań użytkowników. Technologia SMART zmniejsza liczbę fałszywych alarmów i wykrywa zagrożenia, których nie można znaleźć za pomocą żadnego innego rozwiązania zabezpieczającego. Dzięki technologii SMART rozwiązanie Quest Change Detector Threat Detection prezentuje tylko najistotniejsze dane bezpieczeństwa na temat podejrzanych działań w środowisku IT oraz użytkowników stwarzających największe zagrożenie.
Proaktywna ochrona
W obszarze bezpieczeństwa organizacje powinny działać proaktywnie. Tylko tak można zapewnić odpowiedni poziom ochrony oraz zabezpieczyć wrażliwe dane i krytyczne systemy. W przeciwnym razie firmy narażają się na kradzież danych, zakłócenie funkcjonowania działalności biznesowej, straty finansowe i utratę reputacji. Najnowsze rozwiązanie Quest Change Detector Threat Detection wykorzystuje zaawansowane technologie, w tym uczenie maszynowe i korelację SMART, w celu identyfikacji realnych zagrożeń dla bezpieczeństwa organizacji. Analizuje i wyodrębnia podejrzane wzorce zachowań z milionów zdarzeń występujących w środowisku IT każdego dnia. Narzędzie identyfikuje użytkowników i działania stwarzające największe zagrożenie, zapewniając tym samym skuteczną ochronę całej organizacji.
[1] „2018 Insider Threat Report by Cybersecurity Insiders”,
https://www.quest.com/whitepaper/insider-threat-spotlight-report890546/
[2] „2017 Ponemon Cost of Data Breach Study”, 06.2017.