Blindspotter, najnowszy produkt firmy BalaBit, potrafi zidentyfikować próby nadużyć i kradzieży danych na podstawie nietypowego zachowania użytkownika. Dzięki temu banki, instytucje państwowe i firmy z branży e-commerce mogą skutecznie bronić się przed próbami kradzieży danych przez pracowników, administratorów z najwyższymi uprawnieniami lub przestępcami, którzy uzyskali dostęp do systemu za pomocą skradzionych danych logowania.
Blindspotter w czasie rzeczywistym (lub zbliżonym do rzeczywistego) analizuje i wizualizuje aktywność użytkowników sieci. Na podstawie informacji o uprawnieniach poszczególnych użytkowników i ich regularnych zachowaniach system tworzy ich profile, a następnie wyszukuje nieprawidłowości – np. kiedy administrator loguje się do systemu poza standardowymi godzinami pracy. Blindspotter wykrywa także nieprawidłowości na poziomie wydawanych poleceń. Oznacza to, że gdy administrator używa polecenia innego niż zwykle Blindspotter reaguje automatycznie, zgodnie z ustaloną procedurą, w celu zminimalizowania zagrożenia.
Blindspotter został zaprojektowany po to, by sprostać dzisiejszym kluczowym wyzwaniom bezpieczeństwa oraz stworzyć system ostrzegania o najważniejszych zagrożeniach, takich jak:
Dostęp do sieci za pomocą skradzionych danych logowania
Działanie przestępcy na koncie użytkownika różni się znacznie od aktywności legalnego użytkownika. Atakujący zazwyczaj starają się stworzyć mapę infrastruktury IT atakowanej organizacji poprzez sprawdzanie dostępności różnych usług w systemie lub próbują pobrać duże ilości cennych danych. Blindspotter jest w stanie wykryć i ostrzec osoby odpowiedzialne za bezpieczeństwo firmy o tego rodzaju odchyleniach od standardowych operacji na koncie.
Nadużywanie uprawnień poprzez pracowników lub współpracowników
Blindspotter pomaga wykryć, czy użytkownik o wysokim poziomie uprawnień próbował wykraść, kopiował lub modyfikował wrażliwe dane firmy, które nie są konieczne do jego pracy. W ten sposób można zapobiec naruszeniu ochrony danych.
Wykrywanie nadużyć na automatycznym koncie systemowym
Automatyczne konta systemowe są zwykle tworzone przez administratorów i mają zadanie zwiększenie wydajności pracy przy regularnych zadaniach np. tworzeniu kopii zapasowych bazy danych lub codziennym uruchamianiu poszczególnych usług. Choć ułatwiają pracę administratorom, to równocześnie stwarzają zagrożenie bezpieczeństwa ponieważ korzystają z własnych poświadczeń. W przypadku zaatakowania skryptu, atakujący ma nie tylko dane konta administratora systemu, ale także zyskuje dostęp do wszystkich usług, które ten posiada. Stosując Blindspotter, możliwe jest rozróżnienie planowego działania automatycznego konta systemowego, a ingerencją człowieka w jego pracę.
Analiza informacji pojawiajacych się na ekranie użytkownika
Blindspotter, w połączeniu z urządzeniem Shell Control Box – również oferowanym przez BalaBit – potrafi także analizować informacje pojawiające się na ekranie, w tym wydanych poleceń, zainstalowanego oprogramowania lub dowolnych danych tekstowych. Pozwala to na wykrycie ewentualnych nieprawidłowości, które są oznakami ataku lub poważnego nadużycia uprawnień.
Zoltán Györkő, prezes firmy BalaBit, skomentował: – Tak naprawdę zagrożeniem dla każdego systemu jest wykorzystanie wysokich uprawnień wewnątrz systemu do wyrządzenia szkody – niezależnie od tego czy jest to ktoś niezwiązany z firmą kto w wyrafinowany sposób uzyskał takie uprawnienia, czy ktoś z wewnątrz firmy, kto próbuje ukraść dane lub w inny sposób zaszkodzić organizacji. W przeszłości wykrycie takiej aktywności w czasie rzeczywistym było niezwykle trudne. Blindspotter ma na celu wypełnienie tej luki i zapewnienie bezpieczeństwa i ochrony ważnych danych, bez spowalniania codziennej działalności firmy.