Как работает Varonis

Подробный обзор Metadata Framework — запатентованной технологии, лежащей в основе платформы кибербезопасности Varonis.

Мониторинг систем, в которых хранятся данные

database2-1

Локальные хранилища данных

  • Logo_Windows_Dark Navy
  • Icon_UNIX_Dark Navy
  • Icon_NetApp_Dark Navy
  • Logo_Dell EMC_Dark Navy
cloud-2

Облачные хранилища данных

  • Icon_OneDrive
  • Icon_SharePoint_Dark Navy Copy
  • Icon_Nasuni_Dark Navy-1
  • Icon_Nutanix_Dark Navy
play-1

Приложения

  • Icon_M365_Dark Navy
  • Icon_SharePoint_Dark Navy Copy
  • Icon_Teams_Dark Navy
  • Icon_Exchange_Dark Navy Copy
activedirectory

Службы каталогов

  • Icon_Windows AD_Dark Navy
  • Logo_Azure AD_Dark Navy
  • LDAP-1
  • centrify-seeklogo.com
database

Сетевые устройства

  • Shape
  • PaloAltoNetworks_2020_Logo
  • Combined Shape-1
  • Cisco_logo-1

Сбор, обогащение
и нормализация метаданных без использования агентов на конечных точках

restricted_access-1

Сканирование, классификация и индексирование содержимого и свойств файлов.

file-1

Сбор структур файлов и папок и разрешений из хранилищ данных.

database-2

Сбор данных о локальных пользователях, группах и взаимосвязях между ними из хранилищ данных.

user_group2-2

Сбор данных о пользователях и группах домена и их отношениях из служб каталогов.

dot_grid_4-1

Обобщение, нормализация и обогащение событий, связанных с доступом к данным, в режиме реального времени.

Объединение, сопоставление и анализ метаданных по трем ключевым измерениям


Контентный анализ данных

Система классификации Varonis сканирует только те файлы, которые были изменены или созданы с момента предыдущего сканирования. Поэтапное сканирование позволяет работать в петабайтном масштабе.

Мы достигаем результатов с высокой степенью точности, выходя за рамки регулярных выражений, используя сопоставления с учетом близости, минус-слова, OCR и алгоритмическую проверку.



Права доступа

Контроль доступа в Windows, Box, SharePoint, Exchange, UNIX и пр. всегда уникален — в каждой системе имеются свои особенности и подводные камни. Определение оптимального уровня прав у конкретного объекта или пользователя может быть невероятно сложным, и в каждой системе — разным.

Varonis предварительно рассчитывает и нормализует миллиарды функциональных отношений между пользователями, группами и данными с помощью запатентованных алгоритмов, чтобы мгновенно и точно определить текущие права доступа и предложить рекомендации по их оптимизации.

Это позволяет создавать двунаправленное отображение прав доступа, благодаря которому вы всегда знаете, кто имеет доступ к определенному объекту, и наоборот — к каким объектам может получить доступ любой пользователь или группа.


Мониторинг активности

Как и права доступа, события доступа сильно различаются по формату и структуре в зависимости от технологий. Выяснение того, к каким объектам сотрудник имеет доступ в данное время, может стать целым Data Science проектом, хотя должно быть простым вопросом.

Varonis объединяет, нормализует и обогащает события доступа к данным, управление доступом/изменения конфигурации, события аутентификации и сетевые события из широкого спектра систем от десятков различных поставщиков.

Мы предоставляем унифицированный и понятный журнал регистрации событий, который станет для вас единым и исчерпывающим источником о безопасности данных. Эти обогащенные контекстом события поступают в систему оповещения Varonis в реальном времени, обеспечивая точные результаты и минимальное число ложных срабатываний.


Анализ поведения и оценка рисков без вмешательства человека


Двунаправленный кластерный анализ

Varonis отображает права каждого пользователя и анализирует его активность с данными для определения их необходимости. Анализ Varonis идет еще дальше, создавая группы пользователей с аналогичными разрешениями и ищет существенные отклонения при использовании данных.

По результатам такого анализа Varonis разрабатывает рекомендации по автоматическому отзыву прав доступа или отправляет его результаты бизнес-владельцам в рамках проверки прав доступа.


Аналитика безопасности и моделирование угроз

Varonis автоматически создает профили нормальной работы по часам, дням и неделям для каждого пользователя и устройства, и когда что-то будет выходить за рамки стандартной активности, Varonis сгенерирует оповещение.

 

Всё это даёт уверенные ответы на вопросы:

 

  • Какие имеются учётные записи и кому они принадлежат?

  • Кто какие устройства и данные использует?

  • Когда и откуда эти пользователи выполняют действия?

 

Varonis содержит сотни моделей угроз, основанных на машинном обучении и современных методах атак, охватывающих всю цепочку Kill Chain. Эти модели совершенствуются по мере изучения вашей среды.

Больше об этих моделях мы не сможем ничего сказать — за нами пристально наблюдают наши юристы.


product-hiw-profile-1@2x

285 пользователей имеют доступ к папке SharePoint юридического отдела, которого у них быть не должно.

Illustration_HowitWorks_StaleServiceAccount

ELS-backup является устаревшей учётной записью службы с правами администратора домена.

product-hiw-profile-3@2x

afp-laptop — личное устройство Аманды Перес.

Моделирование и автоматизация изменений в вашей среде


Симулятор песочницы

С помощью Varonis вы можете легко смоделировать сценарии «что, если» для точного определения того, как изменения повлияют на общую структуру прав доступа и бизнес-процессы организации.

Varonis использует ретроспективный анализ для определения, какие пользователи, служебные учётные записи и приложения будут вовлечены в этот процесс.

Varonis выполняет все необходимые проверки зависимостей для предотвращения неожиданных простоев при реализации изменений.


Реализация и откат всех произведённых изменений

С помощью Varonis вы можете вносить множество изменений в свою среду:

 

  • Создание пользователей/групп и управление ими

  • Изменение прав доступа к папке или почтовому ящику

  • Изменение членства в группах Active Directory

 

Для сохранения изменений пользователь должен пройти аутентификацию с использованием учётных данных, обеспечивающих необходимый уровень доступа. Varonis не работает в «режиме бога».

Распределенный движок Varonis является многопоточным, поэтому вы можете вносить широкомасштабные изменения без долгого ожидания. Сохранение изменений выполняется регулярно или по расписанию; в дальнейшем эти изменения можно отменить (отозвать).


Автоматизация

Varonis выполняет автоматический мониторинг безопасности ваших данных.

Varonis позволяет автоматически устранять расхождения с принятыми в компании политиками, например, удаляет глобальные группы доступа (GAG), которые раскрывают данные всем сотрудникам. GAG заменяется целевой группой доступа, ограничивающей масштаб потенциального поражения. Это позволяет завершить масштабные проекты по восстановлению некорректных прав доступа к данным за недели, а не за годы.

С точки зрения расследования инцидентов, Varonis позволяет автоматически запускать реакцию для предотвращения атаки.


globe

Автоматическое устранение глобального доступа к данным.

classified

Автоматическое восстановление нарушенных механизмов контроля доступа.

dot_grid_1

Автоматическое перемещение конфиденциальных файлов в карантин.

Архитектура

Illustration_ArchitectureDiagram
Group 3@2x-1
products-hiw-arch-mobile-2

Часто задаваемые вопросы


Какие технические требования для установки?

Сервер: Сервер Windows 2012+ (может быть виртуальным) с сервером SQL 2016+ Standard или Enterprise, включая службы Reporting Services (SSRS).

Solr Server: Windows Server 2012+ (может быть виртуальный)

Рекомендуется наличие на вашем устройстве 8-16 ядер с частотой 2,3 ГГц или выше, 16–24 ГБ ОЗУ и 250 ГБ выделенного хранилища. Также необходимы Amazon Corretto JDK 8 и .NET Framework 3.5 SP1 и 4.7.2 на обоих устройствах.

Создайте служебную учетную запись Varonis и добавьте ее в группу безопасности «Пользователи домена». Добавьте эту служебную учетную запись в группу локальных администраторов на каждом из указанных выше серверов Varonis.


Платформа кибербезопасности данных Varonis размещается на каком-то сервере?

Нет. Платформа кибербезопасности Varonis — это автономный программный продукт. Однако вы можете внедрить Varonis в любом облачном сервисе, который поддерживает серверы Windows (например, Azure, AWS, Google и т. д.).

Varonis DatAdvantage Cloud — это SaaS-решение.


Требуются ли для Varonis учётные данные администратора домена?

Нет. Для установки потребуются учётные данные администратора, но нашим службам не нужно запускаться от имени администратора домена. Однако, мы предпочитаем этого избегать. Например, для контроля серверов Windows нам нужно запускаться от имени пользователя домена с правами оператора резервного копирования и опытного пользователя. В UNIX мы работаем как обычный пользователь.

Интеграции

Varonis защищает корпоративные данные, где бы они ни находились, — в крупнейших и самых важных хранилищах и приложениях, облачных и локальных.

Сторонние приложения

Подключение Varonis к инструментам безопасности и конфиденциальности в вашем стеке технологий с помощью готовых приложений или интеграций на основе API.