Dataplan 1.10: новые возможности для оптимизации процессов ИБ
Компания NGR Softlab обновила аналитическую платформу Dataplan до версии 1.10. Разработчики усовершенствовали модули поведенческой аналитики xBA Application и добавили новые возможности для ролевого моделирования Role Mining Application.
Новая версия Dataplan позволит получать результаты поиска скрытых угроз, адаптированные под особенности работы конкретных информационных систем и инфраструктуры, а также применять принцип наименьших привилегий при построении ролевой модели доступа. Рассказываем подробно о наиболее важных изменениях.
Улучшения в xBA Application
Настраиваемая статистика для поиска отклонений. Теперь пользователи могут выбирать вид статистики: индивидуальную, групповую или комплексную. Это позволит снизить информационную нагрузку при анализе обнаруженных отклонений и более точно отслеживать параметры поведения сущностей.
Работа с индивидуальной статистикой позволит направленно искать признаки компрометации учетных данных, с групповой — признаки инсайдерской деятельности и нарушения политик безопасности .А отображение всех видов статистики одновременно поможет выполнять комплексный анализ.
Настраиваемая скоринговая модель. Появилась возможность установки значения риска обнаруженного отклонения в зависимости от его важности.Ранее значения уровня риска нельзя было менять, теперь для каждой системы и параметра профилирования можно устанавливать свою модель оценки риска со значениями в диапазоне от 1 до 100.
Возможность просмотра уникальных и новых записей при просмотре исходных данных по аномалии. Благодаря этому пользователю не придется отдельно выгружать исходные данные и дополнительно их анализировать либо выполнять дополнительные sql-запросы.
Улучшенный дизайн. Изменен ряд цветовых схем, более четко отрисованы графики для легко считывания информации.
Новые возможности Role Mining Application
В Role Mining Application также внесен ряд изменений. Во-первых, расширились настройки модуля. Что появилось:
Возможность задать процент потери доступа по всем пользователям. Если установить этот показатель, то при формировании модели разграничения доступа на основе ролей (модели RBAC) система будет не только добавлять привилегии, но и исключать их. Таким образом, пользователь получит более сбалансированную и «безопасную» с точки зрения защиты информации модель RBAC.
Возможность задавать исключения при формировании модели RBAC. В исключения можно добавить конкретных пользователей или группы, а также маски служебных учетных записей или контейнеры (OU) целиком.
Изменение параметров расчета метрик и входящих в них показателей. Для всех показателей и метрик добавлена возможность задать границы зон для лучшей адаптации под установленные правила ведения службы каталогов в организации. Некоторые показатели могут быть полностью исключены из расчета метрик, для некоторых можно изменить «вес», влияющий на расчет метрики.
Разделение алгоритмов анализ для оптимизации времени и вычислительных ресурсов. Оценку состояния службы каталогов теперь можно выполнять отдельно от формирования модели RBAC.
Во-вторых, стали информативнее результаты анализа:
Расширен вывод списков групп и пользователей, в отношении которых необходимо выполнить рекомендации по результатам оценки состояния AD.
Расширена статистическая информация по службе каталогов, которая может пригодиться не только специалистам по ИБ, но и сотрудникам ИТ-подразделений, ответственных за ведение AD: добавили сведения по пустым группам, built-in-группам и т. п.
Добавлены сведения по изменению количества пользователей в группах и групп у пользователя по сравнению с предыдущей оценкой состояния AD для отслеживания несанкционированной эскалации привилегий.
Добавлены сведения о признаке аномальности,по которому встроенные алгоритмы ML относят пользователя к аномальным или неаномальным.
Добавлены сведения о том, в какие роли будут входить группа и пользователь, какой конечный состав пользователей/групп будет у групп/пользователей, чтобы они соответствовали назначенным ролям.
Возможность просматривать лог состояния расчетов модели и оценку состояния AD. Раньше нужно было заходить в консоль и вводить команды для просмотра логов контейнеров, а теперь достаточно нажать на строку статуса расчета и увидеть лог.
«С Dataplan версии 1.10 появился реальный инструмент для реализации ключевых принципов модели Zero Trust. Непрерывный мониторинг и профилирование элементов инфраструктуры, пользователей, а также постоянный аудит ролевой модели и прав доступа делают этот инструмент обязательным элементом современной системы кибербезопасности», — комментирует Пудов Дмитрий, заместитель генерального директора NGR Softlab.
О Dataplan Платформа Dataplan анализирует данные с применением алгоритмов машинного обучения, комплексно оценивая состояние систем защиты информации, поведения пользователей и элементов инфраструктуры. Продукт Dataplan включен в единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры РФ и может использоваться в проектах по импортозамещению ПО.