SODAT Protection
& Analytics
Technické informace
Jak funguje SODAT Protection & Analytic?
SODAT Protection & Analytics je nástrojem v kategorii UEBA (analyzuje chování uživatelů) se schopností strojového učení, který je určený pro společnosti zabývající se vážně zabezpečením svých citlivých dat, jako jsou osobní údaje, interní informace a know-how. Společnosti, které potřebují zajistit, aby tyto údaje byly pod kontrolou a adekvátně zabezpečeny proti zneužití, ztrátě nebo poškození.
Jedná se o nástroj, který využívá agentů na koncových stanicích uživatelů. Agenti na koncových stanicích sbírají informace o uživatelském chování, práci s daty, aplikacemi atp. Tyto nasbírané informace o chování pak centralizuje a analyzuje na základě matematických algoritmů. Zásadní výhodou je, že nástroj neobsahuje žádná pevně nastavená pravidla a ze strany obsluhy je tak vyžadován minimální čas ke konfiguraci. Není vyžadovaná podrobná znalost procesů ve firmě, způsob práce zaměstnanců atp.
Tím se tento přístup zásadně liší od klasických DLP nástrojů, které jsou postaveny na definovaných pravidlech a restrikcích, které pak omezují běžné činnosti uživatelů a jsou díky tomu nejen obtížně nasaditelné v běžných společnostech, ale i v konfliktu s efektivním vykonáváním jejich ekonomické činnosti.
SODAT Protection & Analytics se strojovým učením z principu automatizovaně zpracovává veškerá nasbíraná data a to bez nutnosti přímé konfigurace ze strany obsluhy. To usnadňuje jak úvodní konfiguraci, tak zejména dlouhodobé používání ve společnosti, jelikož nevyžaduje zdlouhavé definování nebo úpravy pravidel. Systém provádí analýzu automatizovaně na základě integrovaných algoritmů a statistických modelů. Následně pak prezentuje až zpracované údaje a to včetně kontextu. Díky absenci striktně definovaných pravidel jsou zachytávané všechny odchylky v chování uživatele. Strojové učení tak ušetří obrovské množství hodin času analytiků.
1. SODAT Protection klient
Na koncových stanicích s operačním systémem Microsoft Windows klient zajišťuje monitoring a restrikce na základě vytvořeného nastavení, aniž by byl uživatel o monitoringu informován. Informace o uživatelských aktivitách odchází v desetiminutových intervalech zabezpečeným kanálem na server.
Další možnosti monitoringu
Klient umožňuje sledovat připojování externích zařízení napříč různými sběrnicemi. Navštívené webové domény a vytištěné dokumenty uživatelem, nebo celkový síťový provoz generovaný stanicí společně s přehledem o změně síťových adaptérů.
Pohyb dat
Přehled o souborových operacích prováděných na lokálních, síťových i výměnných paměťových zařízeních. Dále pohyb dat v rámci intranetu, internetu nebo emailu.
Klient také umožňuje vykonávat restriktivní opatření:
Řízení externích zařízení
V rámci politik je možné definovat seznamy povolených nebo zakázaných externích zařízeních principem whitelist nebo blacklist. Zařízení jsou identifikována na základě HardwareID nebo Sériového čísla.
Ochrana dat v rámci File systému
V rámci ochrany dat je možné omezit přístup k určitým částem File systému, nebo konkrétním adresářům a souborům. Vytvořené restrikce jsou nad úrovní běžných systémových oprávněních, tudíž je nelze obejít ani privilegovanými účty, typicky administrátor.
Omezení práv administrátorů
V případě potřeby je možné do určité míry omezit práva administrátorských účtů a tím zamezit nežádoucím činnostem. Jedná se o změnu hesla do operačního systému, přebírání vlastnictví a změnu práv k souborům a adresářům.
Omezení stahování souborů z internetu
Restrikce poskytuje ochranu před stažením potenciálně nežádoucího softwaru, který by mohl ohrozit organizaci, například spustitelné soubory.
2. SODAT Protection Server
Server zajišťuje distribuci politik, příjem informací a jejích zpracování a aktualizace a správu klientů.
Server může spolupracovat s Active Directory a využívá již existující struktury objektů pro nastavení politik. V prostředí, kde není možné provozovat Active Directory jsou politiky nastavovány v rámci interních skupin.
Politiky je možné definovat zvlášť pro skupinu stanic nebo pro skupinu uživatelů.
Správa probíhá prostřednictví intuitivního grafické administrátorské konzole, dostupné jako spustitelná aplikace přímo na serveru.
Správa klientů
Distribuce v klientských balíčků v rámci sítě pomocí GPO nebo integrovaného nástroje pro vzdálenou instalaci Remote Intaller. Dále zajišťuje aktualizace klientských stanic a poskytuje informace o stavu monitorovaných stanic, což poskytuje přehled o správné funkčnosti klienta a sběru dat.
Správa politik
Server definuje politiky obsahující nastavení pro danou skupinu stanic, nebo skupinu uživatelů. Zajišťuje korektní distribuci a aplikaci na přiřazené skupiny. Politiky jsou spravovány pomocí grafického rozhraní a seznam aplikovaných politik je viditelný v obecném přehledu o stanicích nebo uživatelích.
Zpracování a prohlížení dat
Na serveru dochází k importu a zpracování nasbíraných dat z klientů do Microsoft SQL databáze a jejich záloze. Nasbíraná data je možné v rámci administrátorské konzole prohlížet v surové podobě v chronologickém pořadí a exportovat do souboru.
3. SODAT Analytics
Produkt SODAT Analytics je provozována na Linuxové distribuci CentOS 7.x, jako předkonfigurovaný operační systém, který obsahuje analytiku a webovou aplikaci pro prezentaci výsledků. SODAT Analytics je dostupný pro virtualizační platformy VMware a Microsoft Hyper-V.
Import dat
Data ze serveru SODAT Protection jsou v pravidelných desetiminutových intervalech importována do databáze SODAT Analytics, kde dochází k jejich zpracování. SODAT Analytics využívá výkonný databázový engine PostgreSQL.
Zpracování a analytika
Po přijetí surových dat z databáze SODAT Protection dochází ke zpracování za pomocí pokročilých algoritmů strojového učení. Uživatelské aktivity jsou profilovány na základě metod UEBA (User and Entitity Behaviour Analysis), umožňující vyhodnotit anomální chování uživatele v čase vůči jiným uživatelům, nebo skupině uživatelů.
Prezentace výsledků
SODAT Analytics poskytuje výsledky vyhodnocení prostřednicím webové aplikace. Jednotlivé reporty jsou logicky rozčleněny dle typu na bezpečnost, anomálie a produktivitu. V aplikaci je možné oddělit manažerské role od administrátorských účtů. Výsledky vyhodnocení je možné vyexportovat do souboru.
Oblasti vyhodnocení
1, UEBA a anomálie
Detekce anomálií poskytuje přehled o nestandardním chováním uživatelů napříč 4 kategoriemi. Využití aplikací, navštěvování webů, využívání počítačů a tiskáren. Anomálie jsou vyhodnocovány na základě metod UEBA s využitím strojového učení.
2, Bezpečnost
Alerty: Alertový systém upozorňující na podezřelé chování uživatele. Alerty jsou prezentovány na security Dashboardu.
Přístup k citlivým datům: Obsahuje detailní informace o přístupech uživatelů k souborům uložených na síťových discích nebo webových informačních systémech společnosti, které společnost vydefinuje jako citlivé. Součástí reportu je i přehled o přístupech zaměstnance na daná uložiště.
Odchozí soubory: Poskytuje detailní přehled o datech opouštějících organizaci prostřednictví tisku, USB, emailu a uploadu s možností zaměřit se pouze na citlivá data společnosti.
Přenos souborů WWW: Kompletní přehled o stažených a nahraných souborech na internet prostřednictvím technologie Proxy server s možností využití monitoringu zašifrovaného HTTPS provozu.
Externí paměťový zařízení: Vyhodnocení pohybu externích paměťových zařízení v rámci organizace. Vyhodnocují se zařízení, která vytváří na stanici souborový systém. Standardně USB Flash disky, paměťové karty, mobilní telefony a fotoaparáty.
Přenos soborů na USB: Kompletní přehled o práci se soubory na paměťových zařízeních. V rámci vyhodnocení je možné definovat konkrétní soubor, příponu, uživatele nebo souborovou operaci.
3, Efektivita
Dashboard: Přehled o nejdůležitějších informacích v rámci vyhodnocení efektivity uživatelů.
Oddělení: Informace o využití pracovní doby zaměstnanci v přiřazených odděleních. Do pracovní doby se odráží výsledky z používání aplikací, navštívených webů, využívání tiskáren a počítačů.
Počítače: Informace o provozu monitorovaných počítačů. Do provozu stanice se odráží aktivní doba a neaktivní doba používání počítače.
Zaměstnanci: Detailní informace o chování uživatele, využití jeho pracovní doby a souhrnné informace o pracovních a nepracovních činnostech. Do využití pracovní doby se odráží výsledky z používání aplikací a navštívených webů.
Aplikace: Detailní informace o využívání aplikací v rámci organizace. Report poskytuje přehled o době běhu aplikace, počtu zaměstnanců, kteří s aplikací pracovali a v kterých hodinách je aplikace nejvíce používaná.
Weby: Detailní informace o navštěvování webových stránek v rámci organizace. Report poskytuje přehled o době strávené na jednotlivých webových stránkách, počtu zaměstnanců, kteří webovou stránku navštívili a v kterých hodinách je webová stránka nejvíce prohlížena.
Tiskárny: Informace o využívání tiskáren zaměstnanci. Report zobrazuje počet vytištěných stran, využití tiskáren v jednotlivých dnech a typ tisku.
Jak vyzkoušet
Vyřešte svůj přehled o firemních datech jednou provždy pomocí efektivního nástroje pro monitoring a analýzu dat.