Продолжение статьи
Получив доступ к сети (с помощью украденных учетных данных, атаки методом подбора или другого метода), взломщики предпринимают попытки выполнить вход на различные серверы в поисках ценных данных, которые можно украсть, и дополнительных учетных данных. Обычно у них достаточно времени, чтобы найти то, что им нужно. При подготовке исследования 2017 Cost of Data Breach Study институтом Ponemon (https://www. ponemon.org/library/2017-cost-of-data-breach-study-united-states) выяснилось, что среднее время обнаружения успешного взлома составляет 191 день, то есть более шести месяцев. И еще два месяца (66 дней) требуется, чтобы устранить уязвимость.
Change Auditor Threat Detection устанавливает базовый уровень нормального поведения для каждого пользователя и составляет шаблоны поведения, а не рассматривает отдельно взятые события, поэтому удается быстро обнаружить учетные записи, которыми завладели злоумышленники. Эти учетные записи будут выделены на панели мониторинга угроз, чтобы вы могли принять меры для защиты ценных активов. Индикаторы такой активности:
- многочисленные неудачные или успешные попытки входа на различные серверы;
- попытки доступа к серверам, к которым пользователи никогда не обращались в прошлом;
- вход в многочисленные учетные записи пользователя с одного компьютера или IP-адреса.
Современные ИТ-среды ежедневно регистрируют миллионы необработанных событий. Большинство из них отражают совершенно нормальные и законные действия, но в этом никогда нельзя быть уверенным, учитывая лавину предупреждений, которые выдает большинство решений для обнаружения угроз. Аналитики тратят драгоценное время наложные срабатывания, а тем временем взломщики и недобросовестные сотрудники действуют безнаказанно.
Change Auditor Threat Detection устраняет «отвлекающий шум» и обнаруживает действительные угрозы в вашей среде. Благодаря пониманию какие шаблоны поведения нормальны для данного пользователя и применению многочисленных заранее определенных индикаторов угроз данное решение точно идентифицирует подозрительную активность, которая может свидетельствовать об атаке методом подбора, извлечении данных, повышении привилегий, вредоносных программах или других типичных сценариях нападения.