Поиск аномалий и предотвращение утечек: как сигнатурный анализ помогает обнаружить угрозы изнутри

Злоупотребление полномочиями, человеческий фактор, нарушение внутренних регламентов — все это причины, по которым компания рискует столкнуться с утечкой критичных данных и вмешательством в работу инфраструктуры. Например, в 2022 году сотрудник Yahoo, имея привилегированный доступ к данным компании, выкрал интеллектуальную собственность, чтобы передать конкурентам — более 500 тыс. файлов, в том числе с исходным кодом. Похожие инциденты в прошлом происходили и с российскими компаниями — в том числе с банками.
Виновниками таких инцидентов могут быть и злоумышленники, получившие доступ к привилегированным учеткам. Кража логинов и паролей становится одним из распространённых методов атак. Мониторить активность привилегированных пользователей помогают решения класса PAM. С их помощью можно отслеживать, кто, когда и откуда заходил на учетную запись, вести логи и проводить аудит. В компаниях с PAM ИБ-инциденты происходят на 48% реже. Сокращать число инцидентов помогает анализ действий привилегированных пользователей на основе сигнатур.

Инфраструктура PAM анализирует процессы, происходящие в привилегированных сессиях, и представляет их в виде событий. Каждое событие описывается следующими свойствами:
1.Субъект действия — привилегированный пользователь, который произвел некоторую операцию,
2.Привилегированная учетная запись, от имени которой выполняется операция,
3.Ресурс — защищаемая система, на которой произошло событие,
4.Выполняемое либо выполненное действие,
5.Объект действия,
6.Привилегированная сессия, в ходе которой возникло событие,
7.Время события.

Как правило, более простые модели с меньшим количеством свойств (например, оперирующие исключительно командами, которые запускает пользователь) не позволяют нарисовать полную картину происходящего в рамках сессии. Следовательно, на них нельзя построить по-настоящему эффективный механизм контроля.

Читайте продолжение на habr.ru

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO,  Device Control.

Экосистема программного обеспечения по управлению доступом построена на базе полностью собственного программного обеспечения, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.