主打特權帳號管理的Balabit,原來就有Log收集軟體syslog-ng,以及特權帳號監控方案Shell Control Box(SCB),近年來發展成資安情境智慧(Contextual Security Intelligence,CSI)整體性解決方案,可在使用者不尋常的行為中,找出未知的危險。而這個方案中,有個相當重要的新成員,就是分析使用者異常舉動的Blindspotter。

這款軟體主要分析的對象,包括:由syslog-ng(或其他的SIEM軟體)收集的記錄檔案,可協助企業找出發生高度風險行為的時段,以及值得管理者多加留意的使用者帳號。而SCB在最近新推出的4 F2版,正式支援與Blindspotter整合,因此對於特權帳號的監控,可應用兩者的長處,從Blindspotter發現異常,然後配合SCB畫面側錄機制,做為事件發生過程的證明。

Blindspotter的角色,代理商商丞科技表示,主要還是輔助SCB管理特權帳號,提供進階的使用者行為分析。因此雖然是獨立產品,仍然建議企業擁有相關的權限管理規畫,再行導入。

在架構上,這款軟體以虛擬應用設備的型式提供,換言之,企業需要擁有VMware或是Hyper-V平臺,才能建置。硬體需求的部分,則是需要至少雙核心的處理器與8GB以上的記憶體,以這次採購特輯的產品來說,並不算太高。

以時間軸表示整體資安風險情形,並列出5位需優先觀察的使用者,以及重大的異常事件

Blindspotter的儀表板首頁相當簡單明瞭,主要只有3個區塊:上方的功能列、中間的危險等級走勢圖,以及下方列出特定時段1個小時內,5位風險最高的使用者帳號,以及他們異於尋常的行為列表。

管理者可藉由捲動走勢圖,瀏覽之前的情況,而對於高度危險的時段區間,Blindspotter會以紅色趨勢線標示(80分以上,滿分為100),因此想要追查最近的異常事件,首先就要找到系統以這種方式呈現的情況。然後,再檢視這個時段中,具有嚴重行為的使用者。

假如以歷程記錄檢視,難以找到相關事件的發生點時,管理員也可以在Blindspotter工具列中,切換成可疑事件記錄、發生問題的電腦或伺服器等項目,或者是使用者為檢視的依據。

Balabit Blindspotter儀表板首頁以資安風險等級趨勢圖為主軸,發生疑似異常的事件時,指數拉高,趨勢線也以紅色標示。點選該時段,系統就會在圖表下方顯示風險指數最高的5個使用者帳號,管理者可點選用戶名稱,或是系統列出的嚴重事件,檢視其細節。

透過操作的行為、時間點、登入記錄,與既有的使用習慣比對,發現異常事件

針對單一使用者,Blindspotter提供詳細的分析檢視,包含依據使用者的行為(執行的指令)、工作時段分布,以及經常會連線使用的伺服器等特徵,做為行為是否異常的依據。

以執行的指令而言,系統會依據這個用戶的使用操作,以百分比顯示常用的命令。某些指令雖然平時較少用到,卻可能具有提升權限(例如Linux作業系統中的su)等作用,因此,使用者若是近期在未經授權的情況下,頻繁使用這類對於企業較為危險的指令,就可能需要觀察運用的時機。

而在使用的時段上,由於許多資料竊取案件經常利用下班時間,因此這套系統也針對用戶平常登入使用行為加以追蹤,對於有多種上班時段的企業而言,管理者便無須設置多組規則,就能分析員工的使用習慣。

這個軟體也會分析使用者登入各伺服器的頻率,不只是對於收集到的登入行為加以排序,Blindspotter還會顯示可能類似行為傾向的使用者,供IT人員進行比對。

此外,Blindspotter依據上述有關使用者的行為,突顯其中發現的特徵,並透過時間軸呈現每種指令發生的時間,管理者在這裡能夠快速檢視所有的事件。點選同樣以紅色標示的線段,系統便會顯示其細節,例如執行的時間不尋常且大量發生等等,進而發現可能是帳號由於遭受外部攻擊,並非擁有帳號的員工所為。

這個軟體也與SCB高度整合,因此當Blindspotter發現異常行為時,SCB就會啟動側錄機制,在螢幕上的文字會經由OCR辨識,對於事件的追蹤,管理者可直接以關鍵字搜尋,解決以往透過影片錄影存證時,難以尋找可疑事件發生的時間點。

 

 Balabit Blindspotter特色總覽 

藉由使用者行為分析技術,管理者可從Blindspotter直接檢視有異常行為的使用者,以及可疑行為的依據,搭配Shell Control Box,還能將這些事件的行為,側錄做為佐證。

針對使用者行為提供豐富的分析資訊

對於使用者的行為,Blindspotter主要透過所有執行過的指令、上線時段,以及登入的主機或是VPN的情況,加以歸納異常的事件。IT人員可依據相關的特徵類型,檢視這個用戶所有的狀態,例如正常使用的時段,那些是例行會運用的指令,或是流量異常的情形。

列出單一行為詳細的分析資訊

Blindspotter對於事件以分數表示危險程度,並指出這個事件中,不合理或是異常之處。以圖中的用戶登入SSH主機的記錄而言,晚間約11點並非上班時段,對於這個使用者工作的習慣來說並不尋常。

可側錄畫面並OCR辨識其中文字

Blindspotter分析的結果,可傳送到Shell Control Box(SCB)的系統中,對於高風險事件,也可搭配SCB,自動將使用者執行的過程錄影。值得一提的是,由於畫面中的文字已經透過OCR辨識,因此也支援在SCB中全文檢索,大幅增加找尋速度,解決以往面臨難以舉證的問題。

 

 產品資訊 

●      代理商:商丞科技

●      電話:(02)2914-8001

●      建議售價:監控500臺設備與500位使用者為2,500萬元(未稅)

●      版本:2016.03

●      建置方式:虛擬設備

●      架構:單一主機

●      硬體需求:雙核心處理器、8GB記憶體

●      作業系統需求:客製化Linux

●      資料庫軟體:N/A

●      設備監控:無代理程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「內部存取行為監控系統」採購大特輯】


Advertisement

更多 iThome相關內容