Elkészült a Balabit új védelmi eszközének, a Blidspotternek a végleges, kereskedelmi változata. A felhasználói viselkedések valós idejű elemzésére épülő rendszert tavaly ősszel mutatta be a magyar fejlesztő cég.

A Blindspotter alapvetően egy monitoring eszköz, ami egyrészt segíti a támadások megelőzését, másrészt ha már megtörtént a támadás, annak gyors felismerését segíti. A termék fejlesztéséről először tavaly szeptemberben egy monacói biztonságtechnikai konferencián, majd pedig a budapesti ITBN-en számolt be a vállalat.

A gépi tanulásra épít

A Blindspotter mögött egy a gépi tanulásra épülő rendszer dolgozik, amit a Balabit terminológiájában eCSI-nek (electronic Contextual Security Intelligence) nevez. A felhasználók napi viselkedését leíró nagy mennyiségű, többek között a naplózásból származó adatokat valós időben elemezve trendeket, mintákat rajzol minden egyes vállalati felhasználóról. Ezeket a profilokat veti össze valós időben a felhasználó tényleges tevékenységével, így a megszokott viselkedéstől való eltéréseket azonnal felismeri.

Az elemzéshez a Blindspotter számos információt felhasznál. Ilyen például a be- és kijelentkezés tipikus ideje és helye, a használt eszközök képernyőjének felbontása, az operációs rendszer, a gyakran alkalmazott parancsok és protokollok és így tovább. A felrajzolt profil azonban nem statikus, hanem az folyamatosan finomodik, ahogy újabb és újabb információ gyűlik össze az adott felhasználóról.

Rugalmasabb és gördülékenyebb lesz az üzletmenet

Ezzel a szervezetek két problémát is megoldanak. Egyrészt a rendszer azonnal riaszt, ha veszélyes tevékenységet észlel (az alkalmazott munkaköréhez és korábbi szokásaihoz képest túl sok szervert látogat meg, elkezd nagyobb mennyiségű adatot letölteni, olyan rendszerbe akar belépni, amit korábban egyszer sem használt stb.), másrészt rugalmasabbá teszi a jogosultságok kezelését. Ez utóbbi annak köszönhető, hogy mivel bármilyen, a szokásoktól eltérő tevékenységre azonnal fény derül, és a kontrollok révén azonnal visszaellenőrizhető, hogy indokolt-e a felhasználó tevékenysége. Ezzel például az is megoldható, hogy ad hoc jogosultságokat lehessen adni szinte azonnal egy felhasználónak, ha az üzleti folyamatok szempontjából indokolt.

Scheidler Balázs, a Balabit fejlesztési igazgatója egy tavalyi interjújában is arról beszélt, hogy a viselkedéselemzésen alapuló  védelemmel szabadabbá válik egy vállalat. Mint mondta, ebben a megközelítésben még a BYOD (Bring Your Own Device) okozta biztonsági problémák is egyszerűbben kezelhetők. Minden eszköz – mobiltelefon, tablet, notebook vagy desktop – ugyanis csak egy hozzáférési pont, amit az azonosítói révén a felhasználóhoz lehet kötni. Így gyakorlatilag nincs jelentősége, hogy milyen típusú eszközt használ valaki a munkájához.

Ez sokkal rugalmasabb üzletmenetet tesz lehetővé, mint szigorú kontrollon alapuló, a jogosultságokat előre meghatározó, vagy ún. fehér- és feketelistákat alkalmazó megoldások. Különösen igaz ez a nulladik napi fenyegetettségekre, melyek ellen sem a kontrollok, sem a fehér/feketelisták nem védenek hatásosan.

A viselkedéselemzés az informatikai biztonság egy viszonylag új területének számít. Termékként tavaly novemberben jelent meg a NexDefense ipari vezérlőket és az automatizálási rendszereket védő Sophia nevű rendszere, de a nagy cégek, például az IBM és a Microsoft is kísérleteik viselkedéselemzésen alapuló megoldások integrálásával. A Blindspotternek mindenképpen jó piaci kilátásokat biztosít az, hogy bár egyre több cégnél folynak ilyen irányú fejlesztések, egyelőre kevés az ebbe a termékkategóriába sorolható piacképes eszköz. Az is a Balabit megoldását segítheti, hogy a Blidspotter jól integrálható a cég naplózó eszközeivel.

A Balabit a licencárakat nem publikálta, de előzetes információink szerint az induló csomag a termékkövetés és az integrációs költségek figyelembe vételével 100 ezer euró körül alakulhat, és a megfigyelt felhaszálók számának függvényében nő.