Világpremier volt az idei ITBN második napján: a Balabit a rendezvényen jelentette be viselkedéselemzésre épülő új termékét, a BlindSpottert. A fejlesztő cég arra a problémára keresett megoldást, amely egyfelől a szervezeteken belül biztosítja a biztonság optimális szintjét, ugyanakkor kellően rugalmas ahhoz, hogy nem akadályozza az üzletet a tevékenységében.

Digitális mintákra épít

A hagyományos IT-biztonsági eszközök "buták" – mondta Scheidler Balázs, a Balabit fejlesztési vezetője, amivel arra utalt, hogy az eszközök a kontrollt biztosítják, ráadásul annak alapján, amit előre beállítanak a biztonságért felelős szakemberek. Tehát úgy működnek, hogy különböző szempontok szerint korlátozzák a felhasználót, és nem követik a gyorsan változó igényeket.

Ez azonban az üzleti oldalt is akadályozza abban, hogy igazodjon a gyors változásokhoz. Ugyanis hosszadalmas procedúra, amíg egy-egy szabály megváltoztatása a teljes szervezeten átfut. Ezért kell olyan módszer, amelyben mindent lehet – persze nem mindent szabad. A rendszer minden felhasználóról profilt készít a vállalaton belül rendelkezésre álló adatokból: mikor szokott dolgozni, milyen az aktivitása munkaidőben, a HR által nyilvántartott adatokból, címtárakból, jogosultsági adatokból, logokból stb., és valós időben figyeli, hogy van-e a szokásos viselkedéshez képest eltérés.

A mintakészítés naponta megtörténik, és mindig az elmúlt három hónap adatait veszi figyelembe. Az automatikus adatelemzéshez többféle algoritmust is felhasznál a rendszer. Időeloszlásos vizsgálatot folytat (munkaidő, aktivitás), asszociációs szabályokat állít fel és finomít (ki kivel és ki mivel dolgozik), felállít csoportjellemzőket aktivitás alapján, de végez szöveganalízist is, például azt, hogy ki milyen módon ad meg parancsokat (ez utóbbihoz az információkat például a Shell Control Boxból nyeri).

Mint azt Gyöngyösi Péter, a BlindSpotter termékmenedzsere elmondta, a felállított profiloktól történő eltéréskor a beavatkozásba bevonható a felhasználó is: azaz visszajelzés kérhető például tőle, hogy egy adott esemény, amely a profiljától eltért, miért következett be. Az ilyen eltérés – különösen a vezetőknél – ugyanis bizonyos esetben indokolt lehet. Így maga az üzleti folyamat nem áll meg, és a gyors ellenőrzés is megtörténik.

Segít a biztonságért felelős mérnököknek is

A rendszer arra is alkalmas, hogy priorizálja az eseményeket egy olyan koordináta-rendszer szerint, amely a kockázati szintet, illetve azt írja le, hogy a felhasználó milyen adatokhoz fér hozzá. Ez a biztonságért felelős szakembernek nagy segítséget nyújt abban, hogy hol és milyen sorrendben kell beavatkoznia.

A termék on-premise, azaz helyben telepített megoldásként kerül forgalomba. Scheidler Balázs úgy fogalmazott, hogy első körben a nagyvállalatokat célozzák meg a termékkel, és várhatóan virtuális célgép formájában kerül forgalomba. Nem gondolkodnak felhős szolgáltatásban, mivel a rendszer rendkívül érzékeny adatokat kezel, melyeket a vállalatok jellemzően szeretnek a szervezeten belül tartani.

A BlindSpotter már működik néhány kiemelt ügyfelüknél, de piaci megjelenése csak 2015 második negyedévére várható.