SODAT Protection
& Analytics
Technické informace
Jak funguje SODAT Protection & Analytic?
SODAT Protection & Analytics je nástrojem v kategorii UEBA (analyzuje chování uživatelů) se schopností strojového učení, který je určený pro společnosti zabývající se vážně zabezpečením svých citlivých dat, jako jsou osobní údaje, interní informace a know-how. Společnosti, které potřebují zajistit, aby tyto údaje byly pod kontrolou a adekvátně zabezpečeny proti zneužití, ztrátě nebo poškození.
Jedná se o nástroj, který využívá agentů na koncových stanicích uživatelů. Agenti na koncových stanicích sbírají informace o uživatelském chování, práci s daty, aplikacemi atp. Tyto nasbírané informace o chování pak centralizuje a analyzuje na základě matematických algoritmů. Zásadní výhodou je, že nástroj neobsahuje žádná pevně nastavená pravidla a ze strany obsluhy je tak vyžadován minimální čas ke konfiguraci. Není vyžadovaná podrobná znalost procesů ve firmě, způsob práce zaměstnanců atp.
Tím se tento přístup zásadně liší od klasických DLP nástrojů, které jsou postaveny na definovaných pravidlech a restrikcích, které pak omezují běžné činnosti uživatelů a jsou díky tomu nejen obtížně nasaditelné v běžných společnostech, ale i v konfliktu s efektivním vykonáváním jejich ekonomické činnosti.
SODAT Protection & Analytics se strojovým učením z principu automatizovaně zpracovává veškerá nasbíraná data a to bez nutnosti přímé konfigurace ze strany obsluhy. To usnadňuje jak úvodní konfiguraci, tak zejména dlouhodobé používání ve společnosti, jelikož nevyžaduje zdlouhavé definování nebo úpravy pravidel. Systém provádí analýzu automatizovaně na základě integrovaných algoritmů a statistických modelů. Následně pak prezentuje až zpracované údaje a to včetně kontextu. Díky absenci striktně definovaných pravidel jsou zachytávané všechny odchylky v chování uživatele. Strojové učení tak ušetří obrovské množství hodin času analytiků.
1. SODAT Protection klient
Na koncových stanicích s operačním systémem Microsoft Windows klient zajišťuje monitoring a restrikce na základě vytvořeného nastavení, aniž by byl uživatel o monitoringu informován. Informace o uživatelských aktivitách odchází v desetiminutových intervalech zabezpečeným kanálem na server.
Klient také umožňuje vykonávat restriktivní opatření:
Řízení externích zařízení
V rámci politik je možné definovat seznamy povolených nebo zakázaných externích zařízeních principem whitelist nebo blacklist. Zařízení jsou identifikována na základě HardwareID nebo Sériového čísla.
Ochrana dat v rámci File systému
V rámci ochrany dat je možné omezit přístup k určitým částem File systému, nebo konkrétním adresářům a souborům. Vytvořené restrikce jsou nad úrovní běžných systémových oprávněních, tudíž je nelze obejít ani privilegovanými účty, typicky administrátor.
Omezení práv administrátorů
V případě potřeby je možné do určité míry omezit práva administrátorských účtů a tím zamezit nežádoucím činnostem. Jedná se o změnu hesla do operačního systému, přebírání vlastnictví a změnu práv k souborům a adresářům.
Omezení stahování souborů z internetu
Restrikce poskytuje ochranu před stažením potenciálně nežádoucího softwaru, který by mohl ohrozit organizaci, například spustitelné soubory.

2. SODAT Protection Server
Server zajišťuje distribuci politik, příjem informací a jejích zpracování a aktualizace a správu klientů.
Server může spolupracovat s Active Directory a využívá již existující struktury objektů pro nastavení politik. V prostředí, kde není možné provozovat Active Directory jsou politiky nastavovány v rámci interních skupin.
Politiky je možné definovat zvlášť pro skupinu stanic nebo pro skupinu uživatelů.
Správa probíhá prostřednictví intuitivního grafické administrátorské konzole, dostupné jako spustitelná aplikace přímo na serveru.
3. SODAT Analytics
Produkt SODAT Analytics je provozována na Linuxové distribuci CentOS 7.x, jako předkonfigurovaný operační systém, který obsahuje analytiku a webovou aplikaci pro prezentaci výsledků. SODAT Analytics je dostupný pro virtualizační platformy VMware a Microsoft Hyper-V.
Oblasti vyhodnocení
1, UEBA a anomálie
Detekce anomálií poskytuje přehled o nestandardním chováním uživatelů napříč 4 kategoriemi. Využití aplikací, navštěvování webů, využívání počítačů a tiskáren. Anomálie jsou vyhodnocovány na základě metod UEBA s využitím strojového učení.
2, Bezpečnost
Alerty: Alertový systém upozorňující na podezřelé chování uživatele. Alerty jsou prezentovány na security Dashboardu.
Přístup k citlivým datům: Obsahuje detailní informace o přístupech uživatelů k souborům uložených na síťových discích nebo webových informačních systémech společnosti, které společnost vydefinuje jako citlivé. Součástí reportu je i přehled o přístupech zaměstnance na daná uložiště.
Odchozí soubory: Poskytuje detailní přehled o datech opouštějících organizaci prostřednictví tisku, USB, emailu a uploadu s možností zaměřit se pouze na citlivá data společnosti.
Přenos souborů WWW: Kompletní přehled o stažených a nahraných souborech na internet prostřednictvím technologie Proxy server s možností využití monitoringu zašifrovaného HTTPS provozu.
Externí paměťový zařízení: Vyhodnocení pohybu externích paměťových zařízení v rámci organizace. Vyhodnocují se zařízení, která vytváří na stanici souborový systém. Standardně USB Flash disky, paměťové karty, mobilní telefony a fotoaparáty.
Přenos soborů na USB: Kompletní přehled o práci se soubory na paměťových zařízeních. V rámci vyhodnocení je možné definovat konkrétní soubor, příponu, uživatele nebo souborovou operaci.
3, Efektivita
Dashboard: Přehled o nejdůležitějších informacích v rámci vyhodnocení efektivity uživatelů.
Oddělení: Informace o využití pracovní doby zaměstnanci v přiřazených odděleních. Do pracovní doby se odráží výsledky z používání aplikací, navštívených webů, využívání tiskáren a počítačů.
Počítače: Informace o provozu monitorovaných počítačů. Do provozu stanice se odráží aktivní doba a neaktivní doba používání počítače.
Zaměstnanci: Detailní informace o chování uživatele, využití jeho pracovní doby a souhrnné informace o pracovních a nepracovních činnostech. Do využití pracovní doby se odráží výsledky z používání aplikací a navštívených webů.
Aplikace: Detailní informace o využívání aplikací v rámci organizace. Report poskytuje přehled o době běhu aplikace, počtu zaměstnanců, kteří s aplikací pracovali a v kterých hodinách je aplikace nejvíce používaná.
Weby: Detailní informace o navštěvování webových stránek v rámci organizace. Report poskytuje přehled o době strávené na jednotlivých webových stránkách, počtu zaměstnanců, kteří webovou stránku navštívili a v kterých hodinách je webová stránka nejvíce prohlížena.
Tiskárny: Informace o využívání tiskáren zaměstnanci. Report zobrazuje počet vytištěných stran, využití tiskáren v jednotlivých dnech a typ tisku.
Jak vyzkoušet
Vyřešte svůj přehled o firemních datech jednou provždy pomocí efektivního nástroje pro monitoring a analýzu dat.