Varonis systems что это
Анализ поведения пользователя (User Behaviour Analytics). Как здесь может помочь Varonis?
В современном мире серьезную угрозу информационной безопасности представляют утечки данных, которые происходят в результате случайных или преднамеренных действий самих пользователей информационных систем. Большинство утечек – это, так называемые «неструктурированные данные», то есть данные, которые созданы и используются самими пользователями и хранятся на файловых серверах или в почтовых ящиках пользователей. Таким образом, разумно было бы начать анализ состояния информационной безопасности изнутри, предположив, что потенциальный или уже действующий нарушитель уже находится внутри локальной сети. И чтобы понять, где возможна потенциальная утечка, необходимо выявить наличие конфиденциальных данных на файловом сервере и понять, кто имеет к ним доступ, и кто пользуется ими чаще всего. Кроме того, также следует выявить пользователей, которые не должны иметь доступ к конфиденциальной информации, потому что либо не пользуется этими данными, либо использует их очень редко.
Следует отметить что компонент User Behaviour Analytics всегда был частью Varonis DatAdvantage собирает информацию о всех действиях пользователя на файловом сервере и показывает права доступа как отдельного пользователя к папке или файлу, так и пользователей, которые имеют доступ к файлу или папке. Отсюда можно легко понять, кто имеет доступ к файлу и пользуется им, а кто этот доступ иметь не должен по причине отсутствия активности при работе с информацией, либо в соответствии с определенными в компании политиками безопасности. Также можно построить определенный профиль пользователя – что он делает, в какие папки или почтовые ящики имеет доступ, как часто к ним обращается и т.п.
Varonis также позволяет анализировать какую-то аномальную активность со стороны пользователей. Собирая статистику DatAdvantage в автоматическом режиме может выявить превышение активности пользователя в сравнении с его предыдущей деятельностью на файловом сервере. То есть, если пользователь, например, превысил свою среднюю дневную активность (по количеству действий с файлами на файловом сервере), то это может быть выявлено в автоматическом режиме со всей статистикой действий пользователей и логами. Таким образом, постфактум можно выявить аномальную активность пользователя, что может помочь при расследование различных инцидентов ИБ.
Вы также можете получать уведомления об аномальной активности пользователей в режиме реального времени. Массовое удаление файлов или массовое копирование может указывать на определенную злонамеренную активность. Диапазон различных типов уведомлений очень широк. Если Вы хотите следить за удалением или копированием определенных файлов (например, содержащих конфиденциальную информацию), то это можно с легкостью настроить. Следует отметить, что пользователи уже не смогут использовать конфиденциальную информацию, и администраторы информационной безопасности не будут об этом знать.
Другим важным аспектом поведения пользователей могут быть попытки неудачного доступа к файлам или папкам. Если один и тот же пользователей пытается открыть файлы или папки, к которым он не имеет доступа, возможно, следует обратить внимание на эту активность. Если же какая-то учетная запись в течение короткого времени пытается открыть множество файлов или папок, не имея доступа к ним, возможно это какая-то вирусная активность, что также является инцидентом информационной безопасности.
Также важным аспектом анализа действий пользователя может быть аудит административных учетных записей. Для предотвращения утечки данных всегда полезно знать, какие учетные записи обладают административными правами, и какую деятельность они осуществляют на файловом сервере. Также можно отслеживать и процедуру повышения прав для определенной учетной записи. Было ли данное изменение согласовано с сотрудником ИБ и не противоречит ли оно политики безопасности, принятой в компании. Возможно, следует отслеживать также и наличие административного доступа к файлам, содержащим конфиденциальную информацию. Если он был осуществлен, то с какой целью и как часто это происходит.
Работа с почтой – также важный аспект анализа поведения пользователей. Всегда полезно знать кто имеет доступ к определенному почтовому ящику, кто в этот ящик заходит и как пользуется данными, которые в нем находятся. Часто бывает, что пользователи даже не подозревают, что их почту может читать кто-то еще. И если кто-то отправляет сообщения от имени другого пользователя, то такие случаи, часто бывает сложно отследить без продукта, который подобную статистику собирает. Наличие информации о доступе к почтовому ящику также позволяет уменьшить избыточный доступ или отнять доступ у пользователей, которым такой доступ совсем не нужен.
Анализ действий пользователей также предполагает и анализ действий не пользовательских учетных записей. Если под служебной учетной записью происходят действия, которые не должны происходить, то возможно, следует обратить на них внимание. Также легко можно мгновенно выявить работу программы-криптолокера, которая шифрует данные, в том числе и на файловым сервере. Работу криптолокера можно отследить как множественным модификациям файлов в течение короткого времени, так и по изменении расширения файла.
Анализ поведения пользователя используется во многих решениях по информационной безопасности (в частности SIEM). Varonis DatAdvantage не пытается повторять функционал других решений, а использует свой подход, собирая информацию о работе с файлами и данными как на файловом сервере, так и в почтовых ящиках. Кроме того, следует отметить, что уведомления о каких изменениях на файловом сервере могут быть отправлены напрямую в SIEM-решение. В этом плане Varonis и SIEM могут дополнять друг друга, повышая эффективность обеспечения информационной безопасности.
От управления данными к управлению инцидентами: как правильно встроить Varonis в процесс Incident Management
В настоящее время довольно сложно представить себе компанию, которая не задумывается об информационной безопасности. Уровень развития ИБ в большой степени зависит от уровня развития бизнеса и ИТ. Защита информации всегда начинается с чего-то простого: необходимо установить межсетевые экраны, антивирусы и прочее, т. е. решить задачи на уровне инфраструктуры. На этом этапе выстраиванию соответствующих процессов и их регламентации внимание не уделяется. Со временем задачи усложняются, появляется потребность в использовании более сложных решений, таких как DLP-системы, системы по управлению неструктурированными или полуструктурированными данными, сканеры безопасности, системы класса Security Information and Event Management (SIEM). И однажды совокупность хаотичных и нерегламентированных процессов, огромное количество средств защиты, каждое из которых является жизненно необходимым, достигает такого состояния, когда уже неясно, действительно ли мы понимаем, как все это функционирует, как этим управлять, что происходит в компании с точки зрения ИБ. Практика показывает, что не всегда наращивание количества средств защиты влечет за собой увеличение персонала. Очень часто руководители полагают, что раз они вложили приличные суммы в обеспечение информационной безопасности, значит, все должно функционировать практически без участия человека. Но это не так. Как правило, подобный подход приводит к перегруженности персонала и низкой эффективности выполнения операционной деятельности ИБ.
Одним из способом решения подобной проблемы и сокращения операционных расходов является, как правило построение системы управления ИБ (Security Operation Center) на базе определенного SIEM-решения. Либо просто подключения всех систем ИБ к единой системе SIEM.
Важно понимать, что средства защиты от «всего и сразу» не существует. Различные программно-аппаратные средства защищают от определенного типа угроз. И отвечают за них, как правило, разные люди. Поэтому очень часто возникает задача интеграции продуктов Varonis с системами класса SIEM, чтобы можно было видеть все события информационной безопасности в одной консоли.
Продукты Varonis легко интегрируются с SIEM-решениями. Здесь есть несколько возможностей:
1. Оповещения. Varonis обладает довольно богатыми возможностями в плане оповещения пользователей. Они могут приходит по электронной почте, в виде SNMP-сообщения, записываться в Event Log. Нас же интересует метод передачи оповещений по syslog. Здесь важно правильно настроить сам Varonis – ведь от того, какие оповещения Вас интересуют будет зависеть правильно выстроенного процесса управления инцидентами. Если Вам интересно массовое копирование или удаление информации, работа конкретных пользователей, в конкретной папке, попытке доступа к конфиденциальным данным со стороны сотрудников, у которых нет таких прав, то необходимо настроить такие оповещения. Не следует забывать также о том, что необходимо будет настроить правила корреляции в SIEM-решении, чтобы результатами сообщений от Varonis были инциденты в соответствии с теми условиями, которые Вы считаете наиболее правильными. Важно понимать, что это двунаправленный процесс – как только Вы настраиваете оповещение в Varonis и видите это оповещение в SIEM-системе, необходимо сразу же настроить для него правило корреляции. Процесс нормализации событий от Varonis также не должен занять много времени: сообщения приходят в очень близком в CEF-формате, что может быть легко интерпретировано HP Arcsight. Другие SIEM-решения также легко интерпретируют сообщения от Varonis, требуется лишь чуть более длительная настройка. Таким образом Вы можете получить в своем SIEM-решении всю информацию об оповещениях, которые могут происходить в Varonis и даже не обращаться в саму консоль продукта. Необходимо лишь произвести первоначальную настройку и потом только донастраивать в соответствии с изменениями инфраструктуры.
2. Интеграция через отчеты Varonis. В этом случае у Вас, как правило, нет системы оповещения от Varonis (возможно, она была Вам изначально не нужна, и Вы не стали ее покупать), но есть сам продут, который Вы хотите связать с имеющимся у Вас SIEM-решением. Varonis обладает широкими возможностями построения отчетов и все те инциденты информационной безопасности, которые могли быть в оповещениях, в отчетах также будут присутствовать. Необходимо лишь точно также настроить те отчеты, которые Вы хотите выгружать и по каким критериям, периодичность выгрузки и формат. Главным недостатком здесь является отсутствие оперативности – ведь системы оповещения у Вас нет, а из отчета Вы сможете узнать, что случилось только на следующий день. И интеграция с SIEM здесь будет другой: если в первом случае был syslog, то здесь это будет файл формата csv, который будет выгружаться с определенной периодичностью. Но конечная цель будет достигнута и в этом случае: Вы сможете видеть все интересующие Вас инциденты ИБ в одной консоли.
3. События самого Varonis. Здесь речь идет о тех событиях, которые Varonis пишет в Event Log самого сервера: это события о своем состоянии. Если мы хотим знать, работает ли Varonis в данный момент и не хотим при этом постоянно лезть на сервер, открывать консоль продукта или проверять запущены ли службы Varonis, то ничего не мешает нам считывает Event Log сервера Varonis и генерировать инцидент ИБ в том, случае, если там будут какие-либо ошибки. В этом случае мы можем быть абсолютно уверены, что у нас все под контролем.
Таким образом, Вы можете получить решение, которое полностью удовлетворяет потребностям ИБ в плане управления инцидентами, связанными с данными, создаваемыми сотрудниками компании. Это повлечет за собой снижение операционных расходов, а сотрудники отдела ИБ смогут быстрее и оперативнее решать повседневные задачи по обеспечению информационной безопасности.
Облако к масштабах организации – как Varonis может помочь построить безопасный обмен данными
Довольно часто в современном мире люди обмениваются информацией друг с другом. Следует отметить, что они могут делать это и в рамках своих должностных обязанностей, часто подвергая конфиденциальную информацию дополнительному риску.
Можно выделить несколько недостатков использования облака:
Для работы пользователей с Varonis DatAnywhere Вам необходимо лишь создать несколько групп в AD, которые необходимы для разграничения ролей в самом DatAnywhere – пользователь, администратор, пользователь, обладающий возможностью делиться внешними ссылками, и пользователь, способный создавать рабочую область для того, чтобы делиться информацией со своими коллегами в рамках этой рабочей области.
Следует также отметить безопасность при передачи данных. Несмотря на то, облако работает напрямую с файловым сервером, внешние пользователи попадают сначала на сервер, который находится в DMZ. Никакие порты из DMZ не открыты во внутренню сеть и сервер, стоящий внутри сети просто периодически опрашивает сервер из DMZ на предмет необходимости аутентификации пользователя или передачи данных.
При этом, пользователь может выбрать хочет он скачивать данные себе на компьютер или мобильное устройство, либо хочет, чтобы файл открывался каждый раз заново, когда он к нему обращается. Синхронизация может быть выборочной – какие-то папки можно скачивать постоянно, а какие-то нет. Также можно выбрать тот объем, который может быть синхронизирован с устройством или конкретные файлы.
Важным моментом также является возможность разрешения коллизий, то есть когда пользователи одновременно работают с одним и тем же файлом. DatAnywhere укажет пользователю на то, что его файл был отредактирован и предложит несколько вариантов – сохранить обе копии, либо сохранить более новую копию. Если же пользователь закачивает документ на сервер и там уже есть документ с таким же названием, то DatAnywhere просто сохранит этот документ с другим названием (добавит индекс). Кроме система хранит лог использования каждого файла, и всегда можно узнать кто открывал, изменял файл.
Следует отметить также гибкость процедуры скачивания либо загрузки файлов. Пользователь может делиться файлом с другими пользователя, если у него есть права на это. При этом он может создать как публичную ссылку на файл (по которой скачать файл может кто угодно, если он имеет ссылку) так и приватную – скачать файл может только определенный человек, которому высылается ПИН-код. Ссылка имеет срок действия либо может быть бессрочной. Следует отметить, что при закачивании файла, системой может быть ограничен как объем файла, так и расширение. Кроме того, человек, который создал ссылку получит уведомление о ее использовании.
Varonis DatAnywhere также обладает большой возможностью для кастомизации интерфейса. Интерфейс решения может быть адаптирован пол любые логотипы или корпоративные цвета, также поддерживается русский язык. Прежде всего это может быть полезно в тех случаях, когда Вы хотите использовать DatAnywhere для обмена файлами с клиентами компании. Клиент заходит по ссылке чтобы что-то скачать или выложит и видит логотип и корпоративные цвета компании, на сайт которой он заходит.
Следует также отметить возможность интеграции DatAnywhere со сторонними приложениями. Varonis предоставляет широкие возможности для создания дополнительных возможностей. Есть потребность, чтобы по выгружаемой из CRM информации автоматически создавалась папка для клиента, а после этого клиенту приходило письмо о том, чтобы он закачал в эту папку документы? Не проблема – возможность такой интеграции существует. Вариантов можно придумать множество, механизм довольно гибкий.
Следует отметить также особую гибкость при самой работе – вы сможете делиться файлами как через клиента, так и без него, как мобильного устройства, так и с обычного рабочего компьютера. При этом нет необходимости строить VPN, для пользователя все весьма просто и понятно. Установка самого продукта занимает непродолжительное время, причем нет необходимости где-то хранить обрабатываемые данные – они ведь уже хранятся на файловом сервере.
В настоящий момент потребность во внутреннем защищенном обмене данными постоянно растет. Организации часто имеют распределенную структуру, взаимодействие с клиентами часто происходит только через Интернет. И здесь «облако внутри организации» от Varonis может быть очень полезным.
Техническая поддержка
У вас есть вопрос? Требуется помощь?
Наша команда инженеров и экспертов по защите данных готова вам помочь.
Дайте нам знать о ваших потребностях
Локальные компании-партнеры предоставляют услуги технической поддержки, не ограничиваясь только решением проблем, но и помогая с повседневными задачами.
В странах Восточной Европы: обратитесь к локальному партнеру компании Varonis, либо свяжитесь с нами через форму обратной связи или напишите нам
Свяжитесь с нами
US: 1-877-292-8767 UK: 0-800-756-9784 INTL: +1-646-706-7336
sales-russia@varonis.com
International dialing options:
The Following numbers are accessible via land lines only:
«Команда профессиональных услуг Varonis просто великолепна! Она работала непрерывно до полного решения всех наших проблем»
Патриция Экарбарнт, T-Mobile
«При решении наших проблем команда технической поддержки стремится к тому, чтобы мы были удовлетворены больше, чем на 100%. Это лучшая служба техподдержки из тех, с которыми я сталкивался!»
Фрэнк МакНикл, ConocoPhillips
«Я работаю в ИТ-индустрии почти 30 лет и каждый год сталкиваюсь со множеством различных компаний-производителей. Служба техподдержки компании Varonis предлагает наилучший уровень сервиса для таких заказчиков, как мы. Очень быстрое время реакции, советы экспертного уровня, и любая помощь, которую только можно попросить. Спасибо за великолепный уровень сервиса.»
Роб Уолш, Amerisure Insurance
Задайте вопрос сообществу
Как экспортировать отчет по неиспользуемым данным? Где скачать последнюю версию программы? Где найти новейшие словари с описаниями вирусов-вымогателей?
Мы поддерживаем онлайн-сообщество Varonis Connect, консультируемое экспертами компании. Посетите портал сообщества для доступа к документации, видеоурокам, ответам на вопросы, описаниям применения программного обеспечения, и для получения другой информации.
FAQ Часто задаваемые вопросы
Обновлено 31 декабря 2018 г.
Компания Varonis предлагает различные возможности для оказания технической поддержки. Далее приведены ответы на некоторые вопросы, касающиеся процесса обработки обращений в техническую поддержку, содержания технической поддержки, и других ресурсов, доступных заказчикам для наиболее эффективного использования программных продуктов Varonis.
General Information
В какие часы работает техническая поддержка?
Техническая поддержка работает в следующие часы:
c понедельника по пятницу, 09:00-18:00 МСК, кроме официальных праздничных дней.
Что входит в техническую поддержку?
В техническую поддержку включены следующие возможности:
Какой уровень технической поддержки предлагает компания Varonis?
Со стандартным уровнем технической поддержки можно ознакомиться в этом документе.
Что такое учетная запись “My Varonis”?
На каких языках доступна техническая поддержка?
Наши локальные партнеры оказывают техническую поддержку на русском языке.
Для других регионов, при обращении напрямую в глобальную службу техподдержки, техническая поддержка осуществляется на английском языке.
Как обратиться за технической поддержкой?
Обратитесь к нашему локальному партнеру, через которого была приобретена техническая поддержка, либо свяжитесь с нами.
Какую информацию необходимо предоставить при обращении за технической поддержкой?
Если вы хотите обновить версию ПО:
Укажите вашу текущую версию ПО, а также текущие версии операционной системы на сервере Varonis, серверы баз данных и контролируемых ресурсов.
У вас вопрос по использованию ПО, либо техническая проблема?
В зависимости от конкретного вопроса или проблемы, следующие детали могут оказать помощь в скорейшем решении вопроса:
Какой уровень критичности указывать при обращении в техподдержку?
При обращении за технической поддержкой можно указать уровень критичности для присвоения правильного приоритета вашему обращению.
Уровни критичности:
Может ли служба технической поддержки оказывать помощь в использовании ПО, например, в построении отчетов?
Служба технической поддержки может помочь с общими вопросами по использованию программных продуктов Varonis, а также подсказать ресурсы, где можно получить дополнительную информацию с целью наиболее эффективного использования программного обеспечения.
Тем не менее, если вам требуются расширенные консультации или периодическая помощь при использовании программного обеспечения, обратитесь к локальному партнеру, либо свяжитесь с нами.
Как осуществляется обработка обращения в службу технической поддержки?
После подачи обращения, служба техподдержки тщательно изучит всю предоставленную информацию, определит уровень критичности проблемы, и свяжется с вами для координации дальнейших действий. При обратной связи, служба технической поддержки может предоставить решение проблемы (или ответ на вопрос), запросить дополнительную информацию, либо предложить провести сессию с использованием средств коллективной работы.
Как поступить, если моя проблема требует повышенного внимания?
Если ситуация с проблемой работы ПО меняется в худшую сторону, напишите в службу техподдержки, перечислив новые обстоятельства и сроки, а также негативный эффект, который наступит, если проблема не будет решена в указанные сроки. Служба техподдержки постарается оказать максимум внимания данному обращению.
Что произойдет, если в программном обеспечении будет обнаружена ошибка?
Если в установленном у вас программном обеспечении будет обнаружена ошибка, инженеры-разработчики ПО исследуют возможность для выпуска патча. В зависимости от уровня критичности ошибки, будет либо выпущен отдельный патч для текущей или ближайшей запланированной версии, либо исправление ошибки будет интегрировано в одну из будущих версий ПО.
Выкупать — так королеву: Varonis расследует быстро распространяющийся шифровальщик-вымогатель “SaveTheQueen”
Новая разновидность вредоносного ПО класса вирусов-вымогателей зашифровывает файлы и добавляет к ним расширение «.SaveTheQueen», распространяясь через системную сетевую папку SYSVOL на контроллерах доменов Active Directory.
Наши заказчики столкнулись с этим вредоносом недавно. Приводим наш полный анализ, его результаты и выводы ниже.
Обнаружение
Один из наших заказчиков связался с нами после того, как они столкнулись с новым видом шифровальщика-вымогателя, который добавлял расширение «.SaveTheQueen» к новым зашифрованным файлам в их среде.
Во время нашего расследования, а точнее на этапе поиска источников заражения, мы выяснили, что распространение и отслеживание заражённых жертв производилось с помощью использования сетевой папки SYSVOL на контроллере домена заказчика.
SYSVOL – это ключевая папка для каждого контроллера домена, используемая для доставки объектов групповых политик (GPO) и скриптов входа и выхода из системы на компьютеры домена. Содержимое данной папки реплицируется между контроллерами домена для синхронизации этих данных на сайтах организации. Запись в SYSVOL требует высоких доменных привилегий, однако, после компрометации, этот актив становится мощным инструментом для атакующих, которые могут использовать его для быстрого и эффективного распространения вредоносной нагрузки по домену.
Цепочка аудита Varonis помогла быстро выявить следующее:
Вероятно, атакующий получил и использовал привилегии администратора домена для записи файлов в SYSVOL. На инфицированных узлах атакующий запускал код PowerShell, который создавал задание расписания для того, что открыть, расшифровать и запустить вредоносное ПО.
Расшифровка вредоноса
Мы безрезультатно опробовали несколько способов расшифровки образцов:
Мы уже почти готовы были сдаться, когда решили попробовать способ «Magic» великолепной
утилиты Cyberchef авторства GCHQ. «Magic» пытается угадать шифрование файла, используя перебор паролей для разных типов шифрования и измеряя энтропию.
«Magic» определил, что был использован упаковщик GZip с кодировкой base64, благодаря чему мы смогли распаковать файл и обнаружить код для внедрения – «инжектор».
Дроппер: «В районе эпидемия! Поголовные прививки. Ящур»
Шелл-код или простые сложности
Мы использовали инструмент авторства Hexacorn — shellcode2exe для того, чтобы «скомпилировать» шелл-код в исполняемый файл для отладки и анализа. Затем мы обнаружили, что она работал как на 32-, так и на 64-битных машинах.
Написание даже простого шелл-кода в нативной трансляции с ассемблера может быть сложным, написание же полного шелл-кода, работающего на обоих видах систем, требует элитных навыков, поэтому мы начали поражаться изощрённости атакующего.
Как выяснилось, автор вредоноса вообще не писал этот сложный шелл-код – было использовано характерное для данной задачи ПО с целью перевода исполняемых файлов и скриптов в шелл-код.
Мы нашли инструмент Donut, который, как нам показалось, мог скомпилировать похожий шелл-код. Вот его описание с GitHub:
Защита кода
Этот файл был обфусцирован с помощью ConfuserEx:
Благодаря ElektroKill Unpacker мы распаковали код:
Итог – полезная нагрузка
Полученная в результате преобразований полезная нагрузка – это очень простой вирус-вымогатель. Никакого механизма обеспечения присутствия в системе, никаких соединений с командным центром – только старое доброе ассиметричное шифрование, для того, чтобы сделать данные жертвы нечитаемыми.
Главная функция выбирает в качестве параметров следующие строки:
Сам процесс выглядит следующим образом:
Основываясь на использовании нативной функции «CreateDecryptor», одна из функций вредоноса, похоже, содержит в качестве параметра механизм расшифровки, требующий закрытого ключа.
Вирус-шифровальщик НЕ шифрует файлы, хранящиеся в директориях:
C:\windows
C:\Program Files
C:\Program Files (x86)
C:\Users\\AppData
C:\inetpub
Также он НЕ шифрует следующие типы файлов:EXE, DLL, MSI, ISO, SYS, CAB.
Итоги и выводы
Несмотря на то, что сам вирус-вымогатель не содержал никаких необычных функций, атакующий креативно использовал Active Directory для распостранения дроппера, а само вредоносное ПО предоставило нам интересные, пусть в итоге и не сложные, препятствия во время анализа.
Мы думаем, что автор вредоноса:
Если у Вас есть вопросы об этом варианте вируса-вымогателя, или любой другой проделанной нашими командами форензики и расследования ИБ-инцидентов, свяжитесь с нами или запросите живую демонстрацию реагирования на атаки, где мы всегда отвечаем на вопросы в рамках сессии вопросов и ответов.