Анализ поведения пользователей

Посмотрите на безопасность с другой стороны, используя передовые модели угроз, основанные на поведении пользователей и машинном обучении.

ЗАПРОС ДЕМОНСТРАЦИИ


Защитите ваши данные от внешних и внутренних угроз

В отличии от других технологий, с помощью Varonis вы сможете получить полную картину того, как пользователи используют данные в AD, на файловых серверах Windows и UNIX, порталах SharePoint, почтовых серверах Exchange и Office 365. Вы получите информацию о правах доступа, реальной активности и результатах классификации данных.

Анализ поведения пользователей (UBA) основан на изучении процесса взаимодействия пользователей с данными. На основании такого анализа формируется модель повседневного поведения, после чего можно легко обнаружить подозрительные отклонения от нормального поведения.

Используя наши усовершенствованные модели угроз, становится возможным анализировать и выявлять подозрительную активность, таким образом, предотвращая утечки данных. Эти модели угроз основаны на глубоком изучении потоков метаданных, машинном обучении и на передовых методах поведенческого анализа.

 

Почему UBA?


UBA обеспечивает комплексное понимание шаблонов поведения пользователей, использования данных, рисков утечки и социальных связей.

Используя собранные метаданные, UBA уточняет важные детали всех действий с информацией.

С помощью UBA вы можете контролировать критичные информационные активы на предмет подозрительной активности и нетипичного поведения.

UBA позволяет сократить время, требуемое как на обнаружение реальной угрозы, так и на дальнейшее расследование инцидентов с критичными данными.

UBA интегрируется с системами управления инцидентами информационной безопасности (SIEM) и с другими системами поведенческого анализа (включая HP ArcSight и FireEye)

BA облегчает и ускоряет устранение последствий вредоносной активности

У нас произошел инцидент с вирусом-шифровальщиком. С помощью ПО Varonis я смог обнаружить и изолировать зараженную учетную запись в течение пяти минут, а так же идентифицировать и восстановить зараженные файлы. Varonis сэкономил нам день работы.


Модели угроз Varonis UBA

Модели угроз Varonis UBA используют пороги срабатывания, статистический анализ и машинное обучение для генерации инцидентов безопасности о подозрительной активности и о потенциальных угрозах.

Эти модели угроз позволяют обнаружить и бороться с перечисленными ниже видами угроз:



  • Внутренние угрозы
  • Внешние угрозы
  • Активность вредоносного ПО (включая вирусы-шифровальщики)
  • Подозрительное поведение пользователей
  • Потенциальная утечка данных
  • Скомпрометированные (ставшие известными злоумышленникам) критичные данные




Анатомия взлома

При помощи модели угроз, которая соответствует этапам проникновения, Varonis фокусируется на вопросах безопасности и автоматического выявления потенциальных утечек, а так же мониторинга и уведомления об атаках на любых этапах проникновения.


Разведка

Злоумышленники выбирают систему, ищут уязвимости, точки входа, и активно изучают ее.

Проникновение

Вредоносное ПО и другие опасные файлы отправляются в систему с целью получить доступ.

Разработка, сбор сведений

Безопасность периметра нарушена; злоумышленники попадают в систему и устанавливают дополнительные средства взлома

Повышение привилегий

Злоумышленники получают повышенный уровень доступа к ресурсам, благодаря чему имеют доступ ко всей системе.

.

Раcпространение

Учетные данные скомпрометированы, теперь злоумышленники могут получить доступ и к другим системам.

Заметание следов

Злоумышленники скрывают свое присутствие и маскируют свою активность, чтобы избежать обнаружения.

Отказ в обслуживании

Целью является сетевая инфраструктура и СХД, ресурсы становятся недоступными для легитимных пользователей.

Утечка данных

Данные оказываются за пределами корпоративной сети для потенциальной огласки и дальнейшего неправомерного использования.


Основные модели угроз

Нетипичное поведение: доступ к критичным данным

Утечка данных: может означать незаконную попытку получить доступ к критичным информационным активам. Действия пользователя сравниваются с его повседневной моделью поведения и создается инцидент безопасности, если обнаружено отклонение от этой модели.

Нетипичное поведение сервисной учетной записи: доступ к нетипичным почтовым ящикам

Утечка данных: может означать незаконную попытку использовать права сервисной учетной записи, чтобы получить доступ к почтовым ящикам. Действия пользователя сравниваются с его повседневной моделью поведения и создается инцидент безопасности, если обнаружено отклонение от этой модели.

Вирусы-шифровальщики

Проникновение: Может означать присутствие программ-«вымогаталей».

Нетипичный доступ к данным: обращение обычных пользователей к файлам, содержащим пароли

Повышение привилегий: может означать незаконную попытку получить учетные данные или навредить корпоративным системам.

Модификация: критичные GPO

Разработка: может означать незаконную попытку получить доступ, благодаря изменению групповых политик или благодаря использованию административных групп безопасности. Также может означать попытку заблокировать доступ к системе для пользователей.

Обнаружение средств взлома

Разработка: может означать попытку установки или использования известных средств взлома.

Изменения членства в административных группах

Разработка: может означать незаконную попытку получить доступ, используя привилегированные группы, или не дать администраторам возможность противостоять атаке.

Административная или сервисная учетная запись заблокирована или удалена

Разработка: может означать незаконную попытку навредить инфраструктуре, заблокировать доступ пользователей к корпоративным системам или замести следы и усложнить расследование.

Множественные события открытия файлов, вероятно содержащих учетные данные

Повышение привилегий: может означать незаконную попытку получить/извлечь учетные данные.

Обнаружение средств разведки/сканирования инфраструктуры

Разведка: может означать присутствие средств разведки, которые используются для сканирования корпоративной сети или для поиска уязвимостей.

Множественная блокировка учетных записей

Распространение: может означать неправильную настройку ПО, использование средств по подбору пароля с целью получить доступ или сделать систему недоступной для пользователя.

Множественное удаление объектов Active Directory

Отказ в доступе: может означать незаконную попытку навредить или уничтожить структуру леса, что приведет к недоступности систем для пользователей.


Готовы посмотреть, что скрывается в ваших данных?

ЗАПРОС ДЕМОНСТРАЦИИ