Balabit Blindspotter schützt vor "Diebstahl" von IT-Accounts

    Balabit BlindspotterVor dem "Kapern" von IT-Accounts und den Aktivitäten von Hackern, die sich Zugang zum Unternehmensnetz verschafft haben, schützt Blindspotter von Balabit. Der Security-Spezialist hat auf der RSA-Sicherheitskonferenz die Ausgabe 2016.03 der Software angekündigt.

    Mit dem Tool lassen sich nach Angaben des Anbieters User Accounts identifizieren, die von Hackern "übernommen" wurden. Das gilt insbesondere für Konten von Nutzern mit privilegierten Zugriffsrechten, etwa von Administratoren und "Super-Usern".

    Diese Nutzergruppen sind laut einer Studie von Balabit besonders gefährdet. Das gilt vor allem für gezielte Angriffe mittels Spear Phishing und Social Engineering. Auf diese Weise sollen Angreifer der Zielperson selbst oder dessen Kollegen Account-Daten wie Passwörter und Log-in-Daten entlocken.

    Ungewöhnliche Aktivitäten werden erkannt

    Balabit Blindspotter - Das Dashboard gibt einen Überblick über die Aktivitäten auf diversen Accounts.Blindspotter erstellt für jeden Account ein Profil. Es umfasst die "normalen" Aktionen des betreffenden Nutzers. Dazu zählt, zu welchen Zeiten und von welchen Orten aus sich ein User normalerweise am Netzwerk oder bei bestimmten IT-Systemen anmeldet oder von welchen IP-Adressen aus dies erfolgt. Loggt sich beispielweise ein User plötzlich in der Nacht von einem Endgerät in Fernost aus auf einem Server ein, kann dies ein Hinweis sein, dass es sich nicht um den legitimen Nutzer handelt.

    Außerdem, so Balabit, identifiziert das Tool Aktivitäten von rechtmäßigen Nutzern, die aus dem Rahmen fallen. Auf diese Weise lassen sich beispielsweise Versuche von illoyalen Mitarbeitern ("Insidern") erkennen, die Daten von Servern "absaugen" wollen. Die Analyse der Verhaltensmuster erfolgt in Echtzeit mithilfe von Machine-Learning-Verfahren.

    Neu in Version 2016.03

    Die jüngste Version von Blindspotter greift unter anderem auf biometrische Informationen zurück, um einen User zweifelsfrei zu erkennen. So erfasst die Software die Art und Weise, wie ein User das Keyboard und die Maus bedient. Dieses Muster ist nach Angaben des Herstellers ebenso einzigartig wie ein Fingerabdruck.

    Blindspotter untersucht außerdem Textinformationen auf dem Bildschirm. Bislang war die Software in der Lage, die Befehle von Nutzern zu analysieren, die diese bei administrativen SSH- und Telnet-Sitzungen verwendeten. Die Daten liefert die Shell Control Box (SCB) von Balabit, ein System für das Monitoring von User-Aktivitäten. In Version 2016.03 von Blindspotter wurde diese Funktion auf Windows-Nutzer ausgeweitet, die das Remote Desktop Protocol (RDP) nutzen.

    Datenquellen von Blindspotter

    Balabit Blindspotter - Die Software hat ein ungewohnt hohes Aktivitätsniveau auf einem Account ermittelt.Ebenfalls untersucht werden Aktionen, die mithilfe von Scripts über einen User-Account durchgeführt werden. Ebenso wie das "Sharing" von Accounts" ist diese Vorgehensweise zwar in der Praxis häufig anzutreffen. Sie stellt jedoch ein Risiko dar, weil sie Angreifern weitgehende Zugriffsmöglichkeiten auf Ressourcen in einem Firmennetzwerk einräumt.

    Die Informationen, die auf die Blindspotter zugreift, stammen – wie erwähnt – teilweise von hauseigenen Lösungen, etwa der SCB. Außerdem nutzt die Software Daten von Systemen anderer Anbieter, aus den Bereichen Security Incident and Event Management (SIEM) sowie Identity and Access Management (IAM). Außerdem kann die Lösung von Balabit auf LDAP- und Active-Directory-Daten oder Informationen von Cloud-Applikationen zurückgreifen.

    Balabit hat Blindspotter und weitere Tools in der Contextual Security Intelligence Suite (CSI) zusammengefasst. Erkennt die IT-Sicherheits­software schädliche oder fragwürdige Aktionen, löst sie Alarm aus. Alternativ dazu kann sie die Aktivitäten stoppen, etwa indem sie eine Remote Session unterbricht.

    1 Kommentar

    Bild von Erich Scheuch
    Erich Scheuch sagt:
    27. September 2016 - 9:37

    Hallo zusammen,

    ich arbeite bei einem Kunden mit Balabit. Monitoring auf Filmchen anschauen. (Windows- Server)

    Ist es möglich Balabit so zu konfigurieren, das er die Tätigkeiten der privilegierten User auf in einer Textdatei (Log-Datei) abspeichert.

    Und wenn nicht, gibt es so ein Monitoring-Tool. Nicht nur die Ereignisprotokolle.

    MfG

    Erich Scheuch