+7 499 322 36 67 заказать звонок
Отраслевые решения
Продукты
Партнеры
О компании
Блог
Контакты
+7 499 322 36 67 заказать звонок
  • Главная
  • Блог
  • [ Как и зачем цифровой профиль пользователя «выносит вердикт»? ]

Как и зачем цифровой профиль пользователя «выносит вердикт»?

Следующая статья
[ 11.10.22 ]
Кто есть кто в «АйТи Бастион»: руководитель направления по развитию продукта Всем привет! С вами на связи «АйТи БАСТИОН». Мы запускаем новую рубрику «Кто есть кто в «АйТи Бастион», в которой мы будем рассказывать о наших специалистах, их обязанностях и роли в компании. Первый ... подробнее
Следующая статья
[ 11.11.22 ]
Кто есть кто в «АйТи Бастион»: руководитель технического центра Всем привет! С вами на связи «АйТи Бастион». Мы продолжаем рубрику «Кто есть кто в «АйТи Бастион», в которой рассказываем о наших специалистах, их обязанностях и роли в компании. Наш герой сегодня – р... подробнее
Следующая статья
[ 21.11.22 ]
«Компактный PAM» на базе тонкого клиента ТОНК Часто заказчики спрашивают нас: «А что у вас с оборудованием?». Ведь за последнее время у многих зарубежных производителей «железа» возникли сложности с наличием требуемого оборудования и его поставко... подробнее
Следующая статья
[ 24.11.22 ]
Что такое «менеджер паролей» и для чего он нужен? СКДПУ НТ обладает множеством функциональных возможностей. Одна из них – менеджер паролей. Что это такое в общепринятом понимании и какие задачи он выполняет именно в нашем продукте?

Утечки паролей,... подробнее
Следующая статья
[ 30.11.22 ]
Спрашивали? Отвечаем! В течение года эксперты «АйТи Бастион» очень часто рассказывают о комплексе СКДПУ НТ на разных площадках и в разных форматах. И часто у аудитории возникают вопросы о продукте. В нашем блоге каждую нед... подробнее
Следующая статья
[ 07.12.22 ]
Спрашивали? Отвечаем! Новая неделя - новый вопрос! Мы продолжаем рассказывать о СКДПУ НТ в нашей постоянной рубрике.

Мы ограничиваем доступ через СКДПУ НТ ко всем важным серверам. Как быть, если произойдет сбой и пользо... подробнее

01 / 01

[ 23.12.22 ]

Сегодня мы расскажем о профилировании пользователей в СКДПУ НТ Мониторинг и аналитика и объясним, почему эта функциональная возможность продукта нужна и важна.

Пользователь – это отдельный администратор ИС, подрядчик или аудитор, который работает с ИТ-инфраструктурой компании. СКДПУ НТ Мониторинг и аналитика составляет карту действий, характерных для каждого ИТ-специалиста в процессе «нормальной» работы. То есть профиль пользователя объединяет данные по его активности внутри сессий. Так, например, он накапливает информацию о действиях по запуску процессов, выполнению различных команд, открытию окон и передаче файлов, времени его работы, ip-адресе и даже активности внутри сессии.

Все доступные события важны для создания карты действий пользователя.  Мы получаем информацию о них не только из собственных систем, но и из тех, что уже есть в инфраструктуре. Чтобы увеличить объем этих (получаемых) данных, мы расширяем список технологических партнеров и интегрируемся с их решениями.                                                      

А что можно делать с этими накопленными данными?

Внутри нашей системы есть отдельные компоненты - детекторы аномалий, которые являются частью аналитической системы. Каждый из них обладает своим набором задач от проверки событий по «шаблонам» до алгоритмов математической статистики и машинного обучения. Благодаря детекторам аномалий наше решение «прогоняет» события конкретного пользователя через эти детекторы и ищет инциденты основе своего «знания» об этом пользователе. Они создаются автоматически, если система чувствует какие-то отклонения от «нормы» - аномалии. Инцидент фиксируется и «отражается» в профиле конкретного пользователя. Он влияет на уровень доверия системы. Существует базовый уровень доверия к пользователю, который снижается в случае обнаружения аномалий в работе конкретного специалиста. Такой процесс даже можно сравнить с отношениями между людьми в реальной жизни. Человек судит по поступкам другого и доверяет ему меньше, если его, например, предали. Если система перестает фиксировать инциденты в работе конкретного пользователя, уровень доверия к нему со временем возрастает. Но все его прошлые действия система, разумеется, помнит 😉

Все профилирование построено для того, чтобы офицер безопасности мог максимально оперативно визуально оценить каждого пользователя. Важно понять, как много инцидентов уже произошло из-за действий конкретного специалиста и сколько вреда он может принести дальше, насколько он потенциально опасен. Поэтому первое, что видит офицер безопасности в личном деле каждого пользователя, — это уровень его доверия. Но также благодаря карточке отдельного ИТ-администратора можно узнать и другую информацию. Например, подробности о каждом инциденте, который возник в ходе работы этого пользователя, количество его сессий и их продолжительность, данные о целевых системах, с которыми он работал.

В этом и выражено цифровое профилирование в СКДПУ НТ Мониторинг и аналитика. На основе событий из сессий система формирует поведенческую модель пользователя и определяет уровень доверия к нему. Эти данные помогают «вынести вердикт» по работе каждого привилегированного пользователя ИС в режиме, приближенном к реальному времени.