Dataplan ─ платформа для решения аналитических задач в ИБ. Применяется как инструмент анализа данных для определения текущего состояния, потребностей пользователей в доступе к информационным ресурсам и повышения защищенности информационных систем. Например, для оценки необходимости или перед внедрением DLP, DAM-систем. Выявлять наиболее востребованные ресурсы для разработки и внедрения механизмов повышения отказоустойчивости, а также составлять поведенческую картину использования ресурсов пользователями.
Основные функциональные возможности Dataplan:
- Сбор и обработка больших массивов данных из разных источников.
- Долговременное хранение данных.
- Расширенная поведенческая аналитика (с применением ML) действий пользователей (UBA/UEBA) и систем, с которыми они взаимодействуют (хосты, базы данных, таблицы, процессы, приложения и пр.).
- Формирование индивидуальных запросов на обработку хранимых данных. Графическое отображение результатов анализа.
- Ролевая модель разграничения доступа к данным платформы.
- Уведомление пользователей и ответственных лиц о результатах анализа.
Такие функции позволяют использовать Dataplan в системах организаций с разными числом сотрудников, масштабами инфраструктуры и составом средств защиты информации.
Из текущих инсталляций платформа используется:
— в Федеральных органах исполнительной власти (ФОИВ), банках, лизинговых и страховых компаниях для анализа журналов событий доступа пользователей к критически важным базам данных для выявления инсайдерской деятельности. При этом, ряд баз данных функционирует под управлением СУБД заказных разработок, ряд из которых не имеет собственной системы логирования;
— в другом ФОИВ ─ для анализа журналов событий почтовой службы и выявления случаев компрометации учетных записей сотрудников, находящихся в командировках. Чтобы решить эту задачу используют открытые базы GeoIP;
— в банках и других коммерческих организациях для анализа отклонений в типовых действиях пользователей при доступе к сетевым информационным ресурсам, выявления нетиповой сетевой активности в инфраструктуре и пр. А также для обогащения данными при расследовании инцидентов информационной безопасности.
Платформой можно пользоваться специалистам с различной квалификацией – как офицерам информационной безопасности, не обладающих знаниями Data Science, так и аналитикам, создающим уникальные SQL-запросы и витрины данных. Так, например, встроенные алгоритмы машинного обучения позволяют строить поведенческие профили (рис. 1) пользователей в несколько «кликов».
Подробнее на сайте издания по ссылке.