主打特權帳號管理的Balabit,原來就有Log收集軟體syslog-ng,以及特權帳號監控方案Shell Control Box(SCB),近年來發展成資安情境智慧(Contextual Security Intelligence,CSI)整體性解決方案,可在使用者不尋常的行為中,找出未知的危險。而這個方案中,有個相當重要的新成員,就是分析使用者異常舉動的Blindspotter。
這款軟體主要分析的對象,包括:由syslog-ng(或其他的SIEM軟體)收集的記錄檔案,可協助企業找出發生高度風險行為的時段,以及值得管理者多加留意的使用者帳號。而SCB在最近新推出的4 F2版,正式支援與Blindspotter整合,因此對於特權帳號的監控,可應用兩者的長處,從Blindspotter發現異常,然後配合SCB畫面側錄機制,做為事件發生過程的證明。
Blindspotter的角色,代理商商丞科技表示,主要還是輔助SCB管理特權帳號,提供進階的使用者行為分析。因此雖然是獨立產品,仍然建議企業擁有相關的權限管理規畫,再行導入。
在架構上,這款軟體以虛擬應用設備的型式提供,換言之,企業需要擁有VMware或是Hyper-V平臺,才能建置。硬體需求的部分,則是需要至少雙核心的處理器與8GB以上的記憶體,以這次採購特輯的產品來說,並不算太高。
以時間軸表示整體資安風險情形,並列出5位需優先觀察的使用者,以及重大的異常事件
Blindspotter的儀表板首頁相當簡單明瞭,主要只有3個區塊:上方的功能列、中間的危險等級走勢圖,以及下方列出特定時段1個小時內,5位風險最高的使用者帳號,以及他們異於尋常的行為列表。
管理者可藉由捲動走勢圖,瀏覽之前的情況,而對於高度危險的時段區間,Blindspotter會以紅色趨勢線標示(80分以上,滿分為100),因此想要追查最近的異常事件,首先就要找到系統以這種方式呈現的情況。然後,再檢視這個時段中,具有嚴重行為的使用者。
假如以歷程記錄檢視,難以找到相關事件的發生點時,管理員也可以在Blindspotter工具列中,切換成可疑事件記錄、發生問題的電腦或伺服器等項目,或者是使用者為檢視的依據。
Balabit Blindspotter儀表板首頁以資安風險等級趨勢圖為主軸,發生疑似異常的事件時,指數拉高,趨勢線也以紅色標示。點選該時段,系統就會在圖表下方顯示風險指數最高的5個使用者帳號,管理者可點選用戶名稱,或是系統列出的嚴重事件,檢視其細節。
透過操作的行為、時間點、登入記錄,與既有的使用習慣比對,發現異常事件
針對單一使用者,Blindspotter提供詳細的分析檢視,包含依據使用者的行為(執行的指令)、工作時段分布,以及經常會連線使用的伺服器等特徵,做為行為是否異常的依據。
以執行的指令而言,系統會依據這個用戶的使用操作,以百分比顯示常用的命令。某些指令雖然平時較少用到,卻可能具有提升權限(例如Linux作業系統中的su)等作用,因此,使用者若是近期在未經授權的情況下,頻繁使用這類對於企業較為危險的指令,就可能需要觀察運用的時機。
而在使用的時段上,由於許多資料竊取案件經常利用下班時間,因此這套系統也針對用戶平常登入使用行為加以追蹤,對於有多種上班時段的企業而言,管理者便無須設置多組規則,就能分析員工的使用習慣。
這個軟體也會分析使用者登入各伺服器的頻率,不只是對於收集到的登入行為加以排序,Blindspotter還會顯示可能類似行為傾向的使用者,供IT人員進行比對。
此外,Blindspotter依據上述有關使用者的行為,突顯其中發現的特徵,並透過時間軸呈現每種指令發生的時間,管理者在這裡能夠快速檢視所有的事件。點選同樣以紅色標示的線段,系統便會顯示其細節,例如執行的時間不尋常且大量發生等等,進而發現可能是帳號由於遭受外部攻擊,並非擁有帳號的員工所為。
這個軟體也與SCB高度整合,因此當Blindspotter發現異常行為時,SCB就會啟動側錄機制,在螢幕上的文字會經由OCR辨識,對於事件的追蹤,管理者可直接以關鍵字搜尋,解決以往透過影片錄影存證時,難以尋找可疑事件發生的時間點。
Balabit Blindspotter特色總覽 藉由使用者行為分析技術,管理者可從Blindspotter直接檢視有異常行為的使用者,以及可疑行為的依據,搭配Shell Control Box,還能將這些事件的行為,側錄做為佐證。
|
產品資訊
● 代理商:商丞科技
● 電話:(02)2914-8001
● 建議售價:監控500臺設備與500位使用者為2,500萬元(未稅)
● 版本:2016.03
● 建置方式:虛擬設備
● 架構:單一主機
● 硬體需求:雙核心處理器、8GB記憶體
● 作業系統需求:客製化Linux
● 資料庫軟體:N/A
● 設備監控:無代理程式
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
【相關報導請參考「內部存取行為監控系統」採購大特輯】