Несмотря на всю сложность современных систем защиты информации, действия пользователей до сих пор являются самым слабым звеном в системе информационной безопасности компаний. Особенно если эти пользователи обладают повышенными правами доступа в ИТ-системах.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций в соотве...Kaspersky
При создании АСУ ТП электрических подстанций заказчики пользуются годами наработанными схемами, шаблонами технических заданий, где учтено все, кроме требований современного законодательства. Вендоры АСУ ТП, в свою очередь, также часто не касаются вопросов информационной безопасности на первоначальных стадиях. Такая ситуация приводит к тому, что конкурс проводится между поставщиками, включающими в свое предложение системы информационной безопасности и поставщиками, игнорирующими данный вопрос на этапе конкурса. Тем не менее, требования всплывают на поздних этапах, когда служба ИБ эксплуатации не принимает объект. Кто виноват и что делать? В своем докладе на этот вопрос отвечает независимый эксперт Алексей Иванов.
Подробнее о конференции: https://kas.pr/kicsconf2021
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Юзабилити лаборатория это только атрибут компании. Нужна ли она. На примерах показываем, что юзабилити-зрелость компании определяется тем, насколько активности встроены в процессы проектирования и ее компетенции
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций в соотве...Kaspersky
При создании АСУ ТП электрических подстанций заказчики пользуются годами наработанными схемами, шаблонами технических заданий, где учтено все, кроме требований современного законодательства. Вендоры АСУ ТП, в свою очередь, также часто не касаются вопросов информационной безопасности на первоначальных стадиях. Такая ситуация приводит к тому, что конкурс проводится между поставщиками, включающими в свое предложение системы информационной безопасности и поставщиками, игнорирующими данный вопрос на этапе конкурса. Тем не менее, требования всплывают на поздних этапах, когда служба ИБ эксплуатации не принимает объект. Кто виноват и что делать? В своем докладе на этот вопрос отвечает независимый эксперт Алексей Иванов.
Подробнее о конференции: https://kas.pr/kicsconf2021
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Юзабилити лаборатория это только атрибут компании. Нужна ли она. На примерах показываем, что юзабилити-зрелость компании определяется тем, насколько активности встроены в процессы проектирования и ее компетенции
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Система "Экран" - универсальное решение для контроля работы в корпоративной сети пользователей всех уровней: как обычных, так и администраторов. С помощью этого инструмента можно отслеживать все производимые действия, выявлять факты мошенничества и контролировать использование конфиденциальной информации.
http://avsoft.in.ua/ofisnye-prilozheniya/ekran-details
Ведущий: Дан Корецкий
Миллионы устройств на Android содержат уязвимости, которые дают права суперпользователя. Докладчик расскажет о технических причинах проблем безопасности (коллизии хеш-функций, злоупотребление межпроцессорным взаимодействием, ошибки работы с сертификатами приложений). Продемонстрирует атаку на «живое» устройство и предоставит рекомендации для снижения риска. Слушатели узнают, почему нельзя полностью устранить уязвимости. Докладчик также поведает историю о том, как были обнаружены атаки в Google Play.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Никитин Андрей Владимирович, заместитель директора департамента контроля информации, Банк СИАБ
Источник: http://ural.ib-bank.ru/materials_2015
Energy SOAR is advanced, business-driven solution, that allows the organizations to rapidly identify, investigate and automate as many business and IT processes as possible.
Its hyperautomation involves the orchestrated use of multiple technologies, tools or platforms.
WatchGuard предоставляет новый функционал SD-WAN на отмеченной наградами платформе
безопасности, чтобы заказчики могли оптимизировать сетевую архитектуру, сохраняя при
этом устойчивое и согласованное состояние безопасности в организации.
F5 labs 2018. Отчет по защите веб-приложенийBAKOTECH
Как и коралловые рифы, которые сосуществуют с множеством других форм жизни, веб-приложения являются «стадными существами». Приложения,
склеенные между собой по сети, состоят из множества независимых компонентов, работающий в отдельных средах с разными операционными требованиями и необходимой для их работы инфраструктурой (как в облаке, так и onpremise). В этом отчете мы исследовали эту последовательность уровней взаимодействия – службы приложений, доступы к приложениям, уровень доставки и защиту транспортного уровня (TLS), системы доменных имен (DNS) и сети. Так как каждый из этих уровней может стать потенциальной целью для атаки.
Скачивайте "Отчет по защите приложений" от F5 Networks, чтобы узнать все о современных угрозах для веб-приложений, самых распространенных способах защиты от них. Также в отчете вы найдете список рекомендаций для повышения уровня безопасности ваших приложений и данных вашей организации.
Miercom was engaged by WatchGuard Technologies, Inc. to conduct an independent, comparative performance assessment of its Firebox M270 against similar leading UTM network security appliances: Cisco Meraki MX84, Fortinet FortiGate 100E, SonicWall NSA 2650 and Sophos XG 210. All products were exposed to increasing traffic loads, with different protocols, while evaluating the impact on network performance. When identifying competitive equipment for this report, selected rack mount appliances were those closest in price (MSRP) to the Firebox M270. In each case this required models to be included that had a closer equivalent price to the WatchGuard Firebox M370.
Product comparisons were made using the following scenarios: firewall, additional security features and full UTM mode. Firewall performance measured transport and application network layer traffic. Then security features were individually enabled to evaluate the impact on performance for HTTP and HTTPS loads. Finally, the full set of security functions was enabled (firewall, intrusion prevention system, antivirus and application control) over HTTP and HTTPS.
The report for Q1 2018 includes:
- WatchGuard Firebox Feed Trends. In this regular section, we analyze threat intelligence shared by tens of thousands of WatchGuard security appliances. This analysis includes details about the top malware and network attacks we saw globally throughout the quarter. Using that data, we identify the top attack trends, and how you might defend against them.
- Top Story: GitHub DDoS Attack In Q1 2018, attackers launched a record-breaking distributed denial of service (DDoS) attack against GitHub using a technique called UDP amplification. In this section we analyze this attack and describe how the lesser-known Memcached service allowed this huge amplification.
- Announcing The 443 Podcast Rather than our normal threat research section, this quarter we announce a new podcast from the WatchGuard Threat Labs team, and the authors of this report. Learn what this new podcast contains and come subscribe wherever podcasts are found.
- The Latest Defense Tips As usual, this report isn’t just meant to inform you of the latest threats, but to help you update your defenses based on the latest attacks. Throughout the report, we share defensive learnings and tips, with a summary of the most important defenses at the end.
На сколько защищена ваша сеть? Готовы ли вы это проверить реальными атаками? Скачивайте брошюру о решении BreakingPoint от IXIA (на англ. языке) и узнайте все о тестировании уязвимостей сети и устройств безопасности!
Группа компаний БАКОТЕК – официальный дистрибьютор Ixia в Украине, Республике Беларусь, Азербайджане, Грузии, Армении, Казахстане, Кыргызстане, Молдове, Таджикистане, Туркменистане и Узбекистане. При возникновении вопросов по решениям Ixia, пожалуйста, пишите на ixia@bakotech.com.
Планируете или уже используете облачные технологии (SaaS, IaaS, PaaS)? Вы уверенны, что можете выявить проблемы производительности и безопасности в облачной среде? Скачивайте электронную книгу Cloud Visibility for Dummies и узнавайте, как это реализовать.
Группа компаний БАКОТЕК – официальный дистрибьютор Ixia в Украине, Республике Беларусь, Азербайджане, Грузии, Армении, Казахстане, Кыргызстане, Молдове, Таджикистане, Туркменистане и Узбекистане. При возникновении вопросов по решениям Ixia, пожалуйста, пишите на ixia@bakotech.com.
Скачивайте электронную книгу Network Visibility for Dummies (на англ. языке) и узнайте, как видеть весь трафик, обеспечить ему средства безопасности и управлять отказоустойчивостью.
Группа компаний БАКОТЕК – официальный дистрибьютор Ixia в Украине, Республике Беларусь, Азербайджане, Грузии, Армении, Казахстане, Кыргызстане, Молдове, Таджикистане, Туркменистане и Узбекистане. При возникновении вопросов по решениям Ixia, пожалуйста, пишите на ixia@bakotech.com.
SIEM – корреляция и анализ данных о событиях безопасности в сети (log management; корреляция событий реагирование на инциденты; отчетность и оповещение)
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
- управление 4-мя разными средствами шифрования из одной консоли,
- преимущества и отличия полнодискового шифрования от Intel Security,
- практические советы по использованию выборочного шифрования,
- интеграция выборочного шифрования с DLP для конечных точек,
- советы и замечания по шифрованию из личной практики.
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...BAKOTECH
• Реализация разграничения доступа к различным объектам БД,
• Ограничение разработчиков и/или подрядчиков,
• почему необходимо использовать механизмы виртуального патчинга и как делать это правильно?
• что делать с уязвимостями о которых не отчитываются DBA?
2. КТО ТАКИЕ OBSERVEIT?
Главный офис – Бостон, США
Разработка – Тель-Авив, Израиль
На рынке с 2006 года
Более 1200 клиентов в мире
$20M инвестиций от Bain Capital
Ведущий разработчик
решения по выявлению,
мониторингу и защите от
внутренних угроз ИБ
5. Аудит и соответствие стандартам
Сотрудники
____________________________
______________
Копирование и
передача
информации
С доступом к
ключевым
приложениям, люди
под подозрением,
на испытательном
Подрядчики
____________________________
______________
Кража интеллект.
собственности и
сбой в работе
систем
Контрактники,
поддержка
вендоров,
аутсорсинг
Привилег.
пользователи
____________________________
______________
Превышение
доступа и утечка
данных
Help Desk,
администраторы
ТИПЫ УГРОЗ
Внутренний аудит, соответвие внешним стандартам ИБ и
внутренним политикам
7. МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ
UNIX / LINUX
_________________________________________
____________
Windows
_________________________________________
____________
DBA
______________________________________
_______________
Сеть
_________________________________________
____________
Help Desk
_________________________________________
____________
Разрабочики
WireShark PuTTY
Toad
RDPWinSCP
Reg EditorCMD PowerShell
DR JavaSSH
Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ
AD
SQL PLUS
9. ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ
УГРОЗАМИ
“Трудно отличить обычную
работу от подозрительных
действий”
3 из 4 профессионалов ИБ
260,000+
подписчиков
10. ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT
Сбор
ВыявлениеРеакция
• Аналитика поведения
пользователя
• Уведомления о
подозрительной
активнсоти
• Оценка рисков
• Запись экрана
• Логирование активности
• Тегирование элементов
приложений
• Воспроизведение
сессии
• Информирование
пользователя
• Блокировка
сессии
ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ
ПОЛЬЗОВАТЕЛЯ
ВЫЯВЛЕНИЕ НСД К
ДАННЫМ И
ПРИЛОЖЕНИЯМ
РАССЛЕДОВАНИЕ
ПОДОЗРИТЕЛЬНОЙ
АКТИВНОСТИ И НСД
ЛЮДИ
13. Пользователь
Наше Решение
Рабочий
компьютер
Служба безопасности
КТО чем занимается
в нашей сети???
‘Admin‘
= Alex
Запись
Видео
Сессии
2. Создание
видеозаписи
1. Идентификация 3. Подробный анализ
видеозаписи
База Данных Аудита
Список
программ,
файлов,
URL-адресов
Пользователь Смотрите Текстовый лог
Alex Видео! Приложений
Сисадмин
Входит как ‘Administrator’
Класс! Теперь я знаю ответ!.
Любой из протоколов
14. Может проще
нажать кнопку
‘Replay Video’?
Replay Video
Видео запись покажет
что именно происходило
Можете объяснить –
что тут происходит?
15. Мониторинг активности пользователей:
Windows «Дневник Сервера» выдает список
всех пользовательских сессий, на
каждом сервере, для каждого из
пользователей
Every session that took place,
identified with user name
server, client etc.
Why was this user editing
the ‘hosts’ file???
Просто нажмите
кнопку
воспроизведения,
чтобы увидеть что
происходило!
Четкая фиксация каждого
запущенного приложения ,
каждого открытого окна и
действия пользователя
В аудит попадают
• Облачные приложения
• Системные утилиты
• Стандартные приложения
Воспроизведение Видео всей
деятельности пользователя с
любой заданной временной
точки
17. Аудит третьих лиц
• Мгновенный отклик
– Всегда точно знаете чем занимается третья сторона
•Воздействие на поведение пользователя
– Захотите ли вы нарушать скоростной режим, если знаете, что впереди
стоят камеры видеофиксации?
•Прозрачность SLA и подтверждение
правильности затрат
– Не будет сомнений в том: что было сделано и в какие сроки
•Нет «тыканья пальцами»
– Моментальное нахождение проблемы и ее устранение
3rd-Party Vendor Monitoring
23. АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА
New Role
On Watch List
John Smith (Sales Engineer)
EMEA Sales
User
Context
User
Activity
4 weeks ago
+10
Connecting
after hours
+20
Changing
sensitive
configuration
3 weeks ago 2 weeks ago 1 week ago
+10
Updating
Customer
Contact Details
+20
Attempt to turn
Firewall OFF
+15
Running sensitive
report in SAP
85 +15
+25
Viewing VIP
patient records
27. Шлюзовое решение
(Без агентов)
Корпоративный
сервер
(нет агентов)
Корпоративные
машины
(нет агентов)
Сервер Терминалов
или Citrix сервер
Published AppsPuTTY
ObserveIT
Агент
Сессии пользователей
Данные аудита
Удаленные
пользователи
ObserveIT
Сервер
управления
Сервер базы
данных
Метаданные
& Видеозахват
Internet
• Агент устанавливается
только на шлюз.
Записываются все сессии
проходящие через шлюз
28. Смешанное развертывание
28
Любой корпоративный сервер
(нет агентов)
Корпоративные машины
(нет агентов)
Чувствительные к нагрузке сервера
(агенты установлены)
Сервер Терминалов
или Citrix сервер
ObserveIT
агент
Удаленные и Локальные
пользователи
ObserveIT
Сервер
управления
Сервер базы
данных
Метаданные
& Видеозахват
Internet
Прямое
подключение
(не через шлюз) ObserveIT
агент
• Аудит всех пользователей
проходящих через шлюз
(вне зависимости от цели
ресурса в сети)
• Дополнительно
установленные агенты на
чувствительных серверах
для большей глубины охвата
Сессии пользователей
Данные аудита
29. ЧТО ДАЛЬШЕ?
Тестовая версия
http://www.observeit.com/tryitnow
Вопросы / пилот / цены
observe@bakotech.com
Расписание вебинаров
http://bakotech.ua/event-list/
Editor's Notes
Today we are going to talk about why User activity monitoring the most effective way to combat insider threats.
And these are just 4 examples of the over 1,200 customer we have using ObserveIT everyday to identify and manage their user-based risk
--click to next slide--
We have over invested in Firewalls, A/V, DLP…. And yet, we still only have half the picture, we don’t understand what it is our users are actually doing.
Now that we talked about how the solution works at a high-level, let’s quickly cover where other customers are leveraging our solution.
From our Qualification call I know you’re interested in a specific use case, but I wanted to share other areas that might be of interest and why customer are using us.
The scope of Insider threats expands Employees, Privileged users and even trusted third-parties.
When dealing with Employees most customers are concerned data extraction and fraudulent activity within core applications. The use case can range from monitoring call center employees to individuals on HR Watch-lists.
With Privileged Users, we see customer looking to see if users are abusing their access or concerned about data leakage. It can range from Help Desk user to DBAs to enforcing Segregation of Duties. We also see a lot of customers looking to track all High Privilege Accounts like system admins on all their servers.
Third-parties is a big one and where our roots tie back too. Most customers are monitoring third-parties to trust, but verify their work and make sure IP isn’t leaving with them or that they aren’t bring down any servers. We see customers monitoring Contractors, Remote Vendors to Completely Outsourced IT shops.
Underpinning monitoring all of these groups is Audit and Compliance – whether it’s to satisfy Audit controls or map to a Security Framework.
Now that we’ve covered the use cases at a high-level, which do you feel is most relevant to cover in the next part of this discussion?
Because of the increasing use of applications that can leak data (e.g. Web Email, Drop Box, WeTransfer) and user that have access to sensitive information.
Our customers are looking to monitoring employees to see if they are viewing information they shouldn’t be, are concern about User Error and if users are leveraging unauthorized cloud apps.
Fraud
SoD violations
Financial Systems
ERP
CRM
Call Centers
Custom Apps
Data Leaks
“Snooping”
Customer data
PII /PHI / PCI
Employee Turnover / New Hires
HR Watch list
Layoffs
Two weeks notice
Remote Workers
IP Theft
E-mail and instant messaging
Thumb drive
Exporting & Printing Reports
Large copy paste operations
Sharing sensitive files on P2P networks
Exchange Admins!!
Today we see a lot of customers handing out root privileges like after-dinner mints.
And when it comes to Privileged user monitoring, customer are concerned with unauthorized changes or access, admins abusing their privileges or what users are doing with local accounts.
Unauthorized Changes
Entitlement changes
Creation of Local Accounts
Password resets
Abusing Privileges
Admin / “Root” logins
Lateral Movement
‘rm’ ‘cp’ with ‘sudo’
Creating “backdoors”
‘leapfrog’ logins
Unnecessary Access
Unauthorized access
Unsecure ‘shell’
Unapproved ‘setuid’
When it comes to 3rd Party Monitoring are customer want to identify any unscheduled tasks, detect abnormal remote access and look into any unauthorized changes.
Abnormal Remote Access
Using shared accounts through Terminal Services, Citrix and GoToMyPC
“leapfrog” to a more restricted machine
VPN. RDP, Telnet, SSH during non-business hours
Unauthorized Changes
Configuration files
Entitlement changes
Domain Admin rights
su or sudo commands
Creation of Local Accounts
DROP TABLE or DROP INDEX command
Password resets
Unscheduled Tasks
Installing applications (TeamViewer)
Installing “backdoors
“Snooping” or viewing information they shouldn’t be
Data exfiltration
Exporting reports
large copy operations
3 out of 4 Security professionals say they Can’t distinguish between legitimate business use and abuse
Crowd-based research in cooperation with the 260,000+ member Information Security Community
Let’s talk about Insider Threat Intelligence with ObserveIT and what makes us different.
First, we focus on the USER – after all – Insider Threats are a People Problem. This approach allows us to provide a clear picture of the risk users present and enables you to do something about it too.
Second, we have a 3-step approach for providing the best Insider Threat Intelligence out there:
ObserveIT is an agent based solution and essentially screen scrapes all activity and index the textual information on the screen.
This includes “Collecting” the information need to distinguish abuse from legitimate use via Visual Screen Recording Technology, and transcribe what’s taking place into User Activity Logs.
Next, we have unique capabilities to detect risky insider activity with rule-based User Behavior Analytics, and Activity Alerting.
Finally, we have the ability to take action and quickly respond to users putting your business at risk with Live Session Response and Session Shutdown.
We’ll dig into each of these capabilities in the demonstration portion of this meeting, but I wanted to give you and idea of how the solution works.
When we dive deeper into the risk associated with our Users, we see there are many different types of users
Business Users, IT Users and Contractors
This is where ObserveIT comes in
ObserveIT solves this critical missing gap – we answer the “WHO’S DOING WHAT” question
We capture, record and monitor all user activity whether you Business Users, IT Users, and Thirst Party Contractors
We provide video-like playback of the actual activity of your users and we create User Activity Logs that provide searchable, easy-to-understand audit trails for every action performed
Our solutions alerts when we detect abnormal and suspicious user activity providing both an actual video replay of the user’s actions and a step by step use activity log of exactly what they did
--- Click to Next Slide ---
So, this is ObserveIT’s intuitive approach:
Today, We have an IT Admin logging on to our servers, using generic ID’s such as ‘Administrator’ or ‘dba’
click
At the same time, Sam the Security Officer is asking: Who is doing What?
click
Adding ObserveIT, the situation becomes much more clear.
First of all, ObserveIT provides Shared-User Identification. So now, we know that this ‘Admin’ is really ‘Alex’
click
Next, ObserveIT steps in with video recording of every user action, as looking over Alex’s shoulder while he is working. The result is a video recording that can easily be played back.
click
And even more, ObserveIT then analyzes this video session… We extract all the details of what Alex did… The apps he ran, files he opened, and more.
click
These three pieces of information: user identification, video capture, and video metadata are then collected in a centralized audit database
click
This of course makes Sam very happy
Here’s a few examples even.
Here we see ObserveIT logs, as presented within CA’s UARM product…
And here the ObserveIT logs are presented within Splunk.
With 6.0 we add Insider Threat Intelligence to our User Activity Monitoring Solution to Cover the full scope of insider threat.
A simple point-and-click Marking Tool allows you to mark - during configuration time – any in-app data elements that you wish to monitor in both your Desktop or Web applications.
You can mark an area being viewed in the application, a specific button being clicked, and any data element such as customer names, email addresses, or phone numbers - as you can see in this mockup.
ObserveIT agent will record any user exposures and interactions with these marked in-app elements.
Once recorded, you can search the Recording Database for these data elements, create Reports, define Alerts, and export to SIEM
In addition, Information collected for marked elements is displayed in ObserveIT session diaries and Video Player – providing an important application context while reviewing recorded sessions.
A calculated user-based risk score will allow you to quickly identify your risky users.
The score is a smart aggregation of risky user activities during the last period, taking into account various risk factors such as – how risky is the application involved?
A dynamic report can automatically show all the sensitive data elements being viewed per user for each business application involved.
In this mockup, John Smith viewed 2 customer records in Salesforce – and you can see the EXACT sensitive data that was viewed!
There are 2 ways that you can deploy ObserveIT…
The first is the standard deployment according to the architecture that we’ve seen so far…
An agent is installed on each server that is being monitored, which feeds log data to the management server.
A second deployment option is via a gateway server.
If users are accessing your servers via a gateway, you can deploy a gateway-based agent only, which then captures the user actions that go through that gateway to each corporate server.
ObserveIT’s flexibility allows you to deploy both ways simultaneously…
A gateway for full network coverage for all standard user access…
Plus agents on specific sensitive servers that require more detailed audit