Szerző: Bodnár Ádám

2014. szeptember 25. 07:33

A szokatlan felhasználói aktivitást keresi a BalaBit

A héten zajlott Informatikai Biztonság Napja (ITBN) konferencián lehullt a lepel a BalaBit új termékéről, amellyel a tőzsdei megjelenéshez vezető út következő nagy lépését kívánja megtenni a gyártó. A Blindspotter abban próbál a céges informatikai biztonsági csapatoknak segíteni, hogy a felhasználói viselkedésből adódó kockázatokat kezelni tudják.

A Blindpotter fejlesztése mögött meghúzódó elgondolás abból táplálkozik, hogy a vállalatok az adataik védelme érdekében egyre több IT-biztonsági terméket vezetnek be és szabályt hoznak, ezek azonban végeredményben a produktivitást is csökkentik. Másfelől a sok termék az IT-biztonsági csapatokra is nagy terhet ró, hiszen számos helyről beérkező riasztásokat kell kezelniük, és gyakran magukra vannak hagyva, a termékek csak problémát jeleznek, de megoldásokat nem kínálnak ezekre.

Nem korlátoz, hanem szokatlan eseményeket figyel

A BalaBit megközelítése - amit a cég amelyet electronic Contextual Security Intelligence-nek nevez - ezzel szemben az, hogy a céges IT-csapatoknak nem kell az utolsó billentyűleütésig megmondania, melyik felhasználónak mit szabad tennie és mit nem - ha meg tudjuk látni a felhasználói viselkedésben a kivételes és ezáltal kockázatos eseteket, némileg lazábbak lehetnek a biztonsági szabályok, ami alapvetően jót tesz az üzletnek. Ebben próbál az információbiztonságot fenntartó csapatok segítségére lenni a Blindspotter, amely a tevékenységeket folyamatosan, valós időben monitorozza és az ígéret szerint a vállalati rendszerek biztonságát úgy növeli, hogy közben sem az üzleti folyamatokat, sem a felhasználók mindennapi munkavégzését nem korlátozza.

A termék az amúgy meglevő naplóforrásokból gyűjti az adatokat és a felhasználókról olyan egyedi lábnyomokat hoz létre, amelyek csak rájuk jellemzőek. Ehhez olyan adatokat használ fel például, hogy a felhasználó mikor és honnan lép be, milyen rendszereket használ, milyen utasításokat ad ki - a Blindspotterbe gyakorlatilag tetszőleges logforrás becsatornázható, ha az adott eseményfolyam rendelkezik időbélyeggel, felhasználói azonosítóval és valamilyen tevékenységet tartalmaz. Minél több és jobb a logforrás és jelforrás (ami lehet akár egy webalkalmazás hozzáférési információja is), annál jobb képet ad a felhasználói aktivitásokról a Blindspotter.

A szoftver ezekből összeállítja az adott felhasználó "ujjlenyomatát", és ha a szokásos tevékenységtől eltérést tapasztal, akkor erre fel tudja hívni az illetékesek figyelmét - ez az illetékes lehet maga a felhasználói is. A módszer nagyon hasonlít ahhoz, amivel a bankkártya-társaságok a csalásokat igyekeznek kiszűrni: ha valaki reggel Budapesten, délben New Yorkban, délután pedig Bangkokban vásárol a kártyájával, számíthat egy telefonhívásra a banktól, amelyben ellenőrzik, valóban ő hajtotta-e végre a tranzakciókat vagy illetéktelenek ellopták a kártyát és le kell azt tiltani.

Hasonlóan működik a Blindspotter is, ha egy kiemelt kockázatú felhasználó (pl. felsővezető vagy rendszergazda) olyan időpontban lép be, vagy olyan helyszínről, ami szokatlan, esetleg olyan rendszerhez próbál hozzáférni, amihez általában nem szokott (pl. rendszergazda értékesítési adatokat akar letölteni), akkor a szoftver küld(het) értesítést, valóban ő áll-e a háttérben, mert ha nem, akkor gyanús lehet az account eltulajdonítása például egy APT támadás keretében. Ezzel párhuzamosan a biztonsági csapat is riasztható, hogy tegye meg a szükséges lépéseket.

A Blindspotter abban próbál az IT-biztonsági részleg segítségére lenni, hogy minden ilyen eseményhez rendel egy pontszámot, amely azt mutatja meg, hogy a felhasználó mennyire kiemelt kockázatú, illetve hogy a tevékenysége mennyire szokatlan (pl. rendszergazda a szokásostól eltérő porton lép be egy gépre vagy olyan parancsokat ad ki, amelyeket korábban soha). E kettő alapján pedig a biztonsági szakértők egy priorizált listát kapnak azokról az eseményekről, amelyek a figyelmükre leginkább érdemesek lehetnek. Ezt követően a belátásukra van bízva, mit tesznek, akár dönthetnek úgy is, hogy az adott jelenség nem veszélyes, mert tudják például a felhasználóról, hogy külföldön utazik, így nem gyanús a szokatlan helyszínről történő belépés.

Minél több adatra van szüksége

A rendszer akkor működik hatékonyan, ha jók az adatforrások (logok), Gyöngyösi Péter, a Blindspotter termékmendzsere a bejelentés során elmondta, az viselkedési mintákat elemző  algoritmusok terén a BalaBit nem találta fel a meleg vizet, olyan módszereket ismer a szoftver, amelyeket már máshol is széles körben használnak. Ilyen tipikusan az időeloszlás (rendszerint mikor aktív egy felhasználó), az asszociációs szabályok tanulása (ha két paraméter mindig együtt jár, akkor váratlan az egyik megváltozása, például SSH-zás másik porton), illetve az ajánlórendszerek.

Utóbbiak segítenek feltérképezni a felhasználói csoportokat és riasztási esemény lehet az is, ha valaki a csoportjától szokatlanul viselkedik. Emellett az aktivitás szöveganalízis alá is vethető (a Shell Control Box révén), a sajtóeseményen hozott példa alapján nagyon jellemző az egyénekre az, hogy egy adott parancsot (pl. Cisco router konfigurációjának megjelenítése) hogyan adnak ki, ha egy felhasználó hirtelen másképp kezd el viselkedni, más rövidítéseket vagy parancsokat használ, az is árulkodó jel lehet. Kiváltképp, ha ezt egy kiemelt jogosultságú felhasználó, például egy rendszeradminisztrátor teszi.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A Blindspottert használó céges IT-biztonsági csapatok a saját hálózatukhoz és felhasználóikhoz hangolhatják az algoritmusok relevanciáját. A termék ráadásul a már korábban rögzített naplóeseményekkel tanítható, így a használatba vétele esetén nem feltétlen szükséges egy olyan időszak, amikor a Blindspotter megismeri a felhasználói szokásokat.

Scheidler Balázs fejlesztési vezető

Öt éven belül a bevétel felét hozhatja

A magyar IT-biztonsági cég nagy reményeket fűz a Blindspotterhez, egy beszélgetés során Keszei Balázs termékmarketing-vezető elmondta, öt év múlva belül ettől várják az árbevétel mintegy felét. A közelmúltban 8 millió dollár friss tőkét bevonó BalaBit reményei szerint jó részben a Blindspotter juttatja el a céget ahhoz az évi 80-100 millió dolláros árbevételhez, amely a nyilvános részvénykibocsátáshoz szükségesnek látszik a vezetőség szerint.

Scheidler Balázs, a cég társalapítója és fejlesztési vezetője szerint a Blindspotter már elkészült, most az értékesítési- és marketingstratégia kidolgozása zajlik. A BalaBit, illetve néhány kiemelt ügyfele már használja a szoftvert, de a kereskedelmi forgalmazás csak 2015 tavaszán kezdődik meg. Addig a Blindspottert számos nemzetközi IT-biztonsági eseményen mutatja be a cég.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról