内部风险挑战
内部人员是指可以合法访问公司数据和基础设施的员工、第三方承包商和其他业务合作伙伴。
内部威胁能导致滥用特权以便窃取、损坏或破坏有价值的公司或员工数据。 但是,有权访问公司资产的人员也可能无意中造成安全事件。 虽然数据泄露是最常见的安全问题,但内部安全政策也应包含关键配置更改和滥用公司资产。
在制定内部威胁管理计划以减轻和预防内部威胁时,安全人员必须考虑具体的方法和专用的内部威胁管理工具。 由于各种原因,检测和调查由内部人员引起的事件非常具有挑战性:
- 内部人员具有访问权限。
- 一名内部人员每天执行多达 10,000 次操作。
- 内部人员知道系统的细节和详情。
- 内部人员可能会勾结并隐藏他们的踪迹。
最近的行业研究表明内部威胁管理的重要性与日俱增,安全专家将这些攻击定义为最隐蔽和最具破坏性的攻击。 构建强大的内部威胁检测计划并投资可靠的内部威胁检测产品可以为您的组织提供额外的保护层,有助于在潜在的安全事件造成重大损害之前预防它们。
查看实际的内部威胁预防
在本视频中,我们研究了一种流行的针对公司服务器的内部攻击模式,称为跳步攻击。 了解如何使用我们的内部威胁软件来检测并阻止它。
使用 Ekran System® 防止内部威胁
Ekran System是通用的企业内部威胁管理软件,可满足从台式机到跳板机的各种基础设施节点的全方位安全需求。
该平台将全面的活动监控和警报功能与高级访问管理和身份控制工具包、手动和自动事件响应以及强大的报告功能相结合。 这使Ekran System成为实施内部安全策略的一站式解决方案。
监控和调查活动
Ekran System是一个全面的监控解决方案,用于记录内部用户活动,标记可疑用户行为,并为调查人员提供响应安全事件所需的信息。
作为专业的内部威胁监控软件,Ekran System同样监控普通和特权用户帐户,提供先进的保护技术,确保即使是特权IT人员也无法掩盖他们的踪迹。
会话视频录制
Ekran System允许在目标端点上记录所有用户会话。 基于IP和基于用户名记录过滤选项是可用的。
该平台以屏幕捕捉格式记录用户会话,并以多层文本元数据为索引,包括应用程序名称、键入的按键和连接设备的详细信息。
根据端点的类型,Ekran System客户端可以记录一个、多个或所有并发用户会话。
关键信息搜索
除了提供全面的连接详情–对于审核远程会话时很重要之外–Ekran System还支持进一步的会话分析。 调查人员可以在当前会话和所有记录的会话中通过各种参数(活动应用程序名称、访问的URL、输入的命令,以及输入的文本)进行搜索。 搜索范围还可以扩展到上传脚本的内容。
客户端保护
为确保对具有任何权限的任何用户进行持续监控,Ekran System包含一个由看门狗和驱动程序级进程保护机制的智能组合,以防止监控中断。 即使服务器连接丢失,会话记录也会在本地继续。
检测威胁并实时响应
我们的内部威胁管理平台提供了一个高度可配置的警报子系统,其中包括两种基于潜在内部威胁的一般行为指标的可定制规则,以及用于检测内部用户例行程序中异常的人工智能用户行为分析模块。
预定义和自定义警报
Ekran System 用于内部威胁检测的综合工具套件包括基于规则的事件标记功能。 其警报模板集合包含最常见的内部威胁指标。 同时,您可以使用各种活动参数通过自己的警报规则增强系统:进程名称、打开的网址、连接的 USB 设备、键入的按键或执行的Linux命令。
用户和实体行为分析 (UEBA)
Ekran的警报系统包括一个人工智能模块,该模块根据多种因素确定用户行为的基线,以进一步检测异常用户活动和可能的帐户泄露。
自动事件响应
为了对触发的警报采取行动而不仅仅是通知安全团队,Ekran System提供了设置自动事件响应操作选项。 这些措施从警告消息要求用户确认其操作到应用程序终止和用户阻止。
USB管理
USB 设备控制是内部威胁检测技术的必备组件。 Ekran System 系统平台可检测、跟踪并在连接各类 USB 设备时触发警报。 它还提供了一个工具集来阻止不在允许的 USB 设备列表中的特定设备和设备类型,并对某些 USB 设备使用场景应用手动批准。
控制对用户帐户的访问
Ekran System为特权用户和普通用户帐户提供精准的访问管理。 它包括完整的特权帐户和会话管理功能、密码管理和访问请求工作流支持。 Ekran还可以与您的票务系统集成,以加强基于目的的访问原则。
用于控制用户身份,包括可靠且高效的双因素身份验证选项。
为什么公司选择Ekran System®
作为基于端头的软件平台,Ekran System为所有流行的操作系统提供客户端,并支持虚拟环境和任何网络架构。 使用Ekran System,您可以结合基于端头和跳板机的部署方案。
Ekran System通过安装在目标端点上的单个软件代理提供用户活动监控和事件检测以及身份和访问管理功能。 请忘掉需要安装和配置多个模块、插件和扩展吧。 Ekran可以完全支持您的内部威胁相关风险减轻计划,因为它是根据NIST 800-53和大多数IT安全标准而构建。
针对员工监控和企业分包商控制,Ekran System的构建和测试可支持数以万计的端点,同时保持出色的稳定性和性能。 凭借高可用性和对多租户部署、系统资源和健康监控仪表板以及维护例行自动化的支持,Ekran System可以轻松扩展并在大型异类基础设施上完美运行。
Ekran System提供的独特且易懂的许可允许对小型试点到企业项目任何规模的部署进行清晰的成本估算和快速实现价值。 浮动端点许可只需单击几下即可在端点之间重新分配许可证。 对于虚拟环境,许可证配置过程是自动化的,以提高组织的敏捷性。
使用企业级内部威胁检测软件获取更多
Ekran System安装简单快速,可轻松与SIEM和票务系统集成。 收集的数据以可搜索和高度优化的视频、音频和文本文件格式保存,用以实现紧凑的日志存储和简易报告。
EKRAN SYSTEM® 集成
Ekran System 员工监控软件可与您的基础设施无缝集成,包括领先的 SIEM 和票务系统。
案例分析
客户评价
常见问题
部署内部威胁防护软件的主要目的是尽快检测和解决由内部人员引起的事件。 这样做,组织可以防止数据泄露或至少将安全事件的后果降至最低。
Ekran System包含一套丰富的内部威胁检测和保护工具,可以大大加强您的网络安全计划。 我们的平台为您提供有关普通员工、特权用户和第三方活动的有用见解。 能够看到谁做了什么,对于及早发现可能的内部威胁至关重要。
不是。 Ekran System在监控用户活动时不会打断员工的工作。
Ekran System唯一可以干扰用户工作的情况是当用户行为可疑时。 例如,您可以配置内部攻击预防规则,以便用户收到通知,说明特定操作违反了网络安全政策。 此外,您的安全团队可以在收到来自Ekran System的通知后手动阻止可疑会话、用户和操作,或者您可以自动执行该过程,以便保护最关键的资产。
Ekran System适用于多种操作系统和平台:
- Windows
- Linux/Unix
- 苹果电脑
- X Window系统监控
- VDI 平台:Citrix、VMware Horizon、Hyper-V、Microsoft Azure Windows Virtual Desktop (WVD)、Amazon Workspaces及其他
是的。 Ekran System监控管理员和其他特权用户的活动。 我们的内部威胁检测工具还可以帮助您进行特权访问管理、帐户和会话管理、审计特权用户的活动以及实时响应特权用户的可疑活动。
作为用户活动监控和内部风险防范解决方案,Ekran System在设计时考虑了网络安全要求。 我们的平台提供各种功能,帮助企业满足主要的IT网络安全法律、法规和标准,包括 GDPR、HIPAA、PCI DSS、ISO 27001、NIST SP 800-53 和 SP 800-171、SWIFT CPS 和 FISMA。
是的。 您可以将Ekran System和以下系统集成:
- SIEM系统:Splunk、ArcSight 和 QRadar
- 票务系统:SysAid、ServiceNow、API Bridge
- 活动目录
Ekran System适用于内部部署和云部署,包括混合环境。
如果您想防止云环境中的内部风险,Ekran System可以帮助您高效地实现这个目的。 使用我们的平台,您可以监控任意数量的端点并根据需要调整监控哪些端点。 Ekran System还提供自动客户端更新和监控数据备份,因此您可以始终使用最新版本的平台并保护您的数据免受意外丢失。
这个问题没有一刀切的答案。 哪种内部威胁检测工具最适合您取决于多种因素,包括您组织的具体需求和要求。 但是,您的内部威胁检测软件应提供以下一些工具:
- 全面覆盖:解决方案应具有检测各种恶意活动的工具,例如数据泄露、权限滥用、未经授权的访问等。
- 用户和实体行为分析 (UEBA) [PDF] : 关注具有可以分析用户行为的基于人工智能的工具的解决方案。 Ekran System 提供了一个人工智能模块,可以在网络安全事件发生之前检测可疑活动。
- 实时警报和自动事件响应:您选择的解决方案应在检测到可疑活动时提供实时警报。 Ekran System 具有预安装和自定义警报,以及通过阻止用户帐户或杀死与可疑活动相关的应用程序(进程)来自动响应内部威胁的功能。
- 审计和报告: 审计和报告功能可以帮助您的安全团队调查事件并生成合规性报告。 Ekran System 提供各种报告,使您的安全官员能够一目了然地了解组织网络安全状况的完整情况。
部署Ekran System用以检测内部威胁是一个简单而快速的过程。 如果您有任何疑问,问题或建议,我们的技术支持团队随时为您提供帮助。
如果您想在申请之前了解我们的内部威胁保护解决方案如何工作,您可以申请30天免费试用版或观看在线演示版。
当您准备好部署Ekran System平台的完整版本时,请查看可用的许可方案以选择最能满足您需求的版本。
如果需要根据您的具体要求,获得在您的基础设施中部署Ekran System的成本估算,请填写此表格与我们联系。