Dataplan ─ аналитическая платформа для решения задач в ИБ. Продукт применяется как инструмент более точного определения состояния защищенности информации по данным не только средств защиты, но и прикладных систем. Платформа позволит определить характерные действия пользователей по доступу к информационным ресурсам и выявить отклонения в реализованных политиках. Это будет полезно, например, при оценке необходимости или перед внедрением DLP, DAM-систем, разработке схем резервирования или оценке эффективности сотрудников. Обзор Dataplan специально для портала Cyber Media подготовила компания NGR Softlab.
Основные функциональные возможности Dataplan:
- Сбор и обработка больших массивов данных из разных источников;
- Долговременное хранение данных;
- Расширенная поведенческая аналитика действий пользователей (UBA/UEBA) с применением ML (Machine Learning) и систем, с которыми они взаимодействуют (хосты, базы данных, таблицы, процессы, приложения и пр.);
- Анализ состояния службы каталогов и формирование рекомендаций по построению ролевой модели разграничения доступа (RBAC);
- Формирование индивидуальных запросов на обработку хранимых данных;
- Графическое отображение результатов анализа;
- Уведомление пользователей и ответственных лиц о результатах анализа.
Такие функции позволяют использовать Dataplan в системах организаций с разными числом сотрудников, масштабами инфраструктуры и составом средств защиты информации.
Платформа используется:
- в Федеральных органах исполнительной власти (ФОИВ), финансовых организациях, лизинговых и страховых компаниях для анализа доступа пользователей к критически важным базам данных для выявления инсайдерской деятельности. При этом ряд баз данных функционирует под управлением СУБД заказных разработок, некоторые из которых не имеют собственной системы логирования или используют закрытый протокол обмена данными;
- для анализа журналов событий почтовой службы и выявления случаев компрометации учетных записей сотрудников, находящихся в командировках. Для решения этой задачи используют открытые базы GeoIP;
- в банках и других коммерческих организациях продукт используют для анализа отклонений в типовых действиях пользователей при доступе к сетевым информационным ресурсам, выявления нетиповой сетевой активности в инфраструктуре и пр., а также для обогащения данными при расследовании инцидентов информационной безопасности с использованием SIEM.
Платформу могут использовать специалисты с различной квалификацией – как офицеры информационной безопасности, не обладающие знаниями Data Science, так и аналитики, создающие уникальные SQL-запросы и витрины данных.
Так, например, встроенные алгоритмы машинного обучения позволяют строить поведенческие профили пользователей за несколько кликов и получать сводную статистику по обнаруженным аномалиям за неделю.
Построенные профили покажут усредненные значения, определяющие поведение пользователей или другой исследуемой сущности за заданный временной интервал, отобразят уровни индивидуального и группового рисков. Таким образом можно выявить отклонения в действиях пользователя по отношению к самому себе или ко всей группе.
При необходимости можно проанализировать данные, на базе которых было выявлено то или иное отклонение и выгрузить их для более детального анализа.
Для упрощения анализа профили могут быть объединены в метапрофили, которые представляют сводную статистику по всем пользователям (или другим сущностям). Такие сведения позволят оценить суммарные уровни риска, состояние системы защиты информации или бизнес-процессов, снизить количество ложных срабатываний по отдельным профилям.
Dataplan выполнит анализ и оценит службу каталогов по параметрам, влияющим на состояние защищенности информации, выявит пользователей и группы безопасности с аномальными признаками, сформирует предложения по построению ролевой модели разграничения доступа.
Подробнее на сайте издания по ссылке.