Оценка за поведение

 Хакеры часто выдают себя за легальных пользователей: либо перехватывают учетные данные, либо заставляют программы легальных пользователей выполнять опасные команды от их имени. Для системы пассивного контроля такие действия являются разрешенными, поскольку они не всегда могут оценить опасность действий пользователей. Именно поэтому в последнее время начали появляться решения, которые позволяют по действиям пользователей и активности узлов выявлять хакерские «вставки» и подмены. Эти системы получили название «системы анализа действий пользователей и узлов» (User & Entity Behavior Analysis – UEBA).   Контроль и досмотр Понятно, что для выявления вредоносного поведения необходимо фиксировать все действия пользователя в системе – тогда можно обнаружить аномальные действия, если они случатся. Фиксировать можно как действия пользователя на устройстве – запуск программ, обращение к файлам, попытки удаленного подключения, так и сетевое взаимодействие – загрузка файлов, обращение к веб-ресурсам (особенно если доступ вовне заблокирован), DNS-запросы и многое другое. В первом случае данные можно получить от операционной системы, во втором – от сетевого оборудования. Причем желательно иметь представление об эталонном поведении пользователей и узлов, чтобы точнее выявлять аномалии. Подобная информация накапливается в системных журналах и хранилище системы обработки событий SIEM, однако в самом ядре обработки событий зачастую проблематично строить модели поведения пользователей и узлов сети и выявлять отклонения и аномалии. Перед […]


Полная версия доступна только зарегистрированным пользователям !








 

ИД «Connect» © 2015-2019

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика