Advanced Threat Analytics leiab kohtvõrgu ründed Advanced Threat Analytics leiab kohtvõrgu ründed

2014. aasta sügisel ostis Microsoft turvalahendustele keskendunud ettevõtte Aorato, mis arendas rünnete tuvastamise tarkvara Directory Services Application Firewall (DAF). DAF jälgis pidevalt kasutajate ja seadmete pöördumisi Active Directory poole, mis sisaldab tavaliselt kogu kasutajate infot ning mitmeid süsteemi arhitektuuri ning rakenduste seadistusi. Jälgimise eesmärk oli tuvastada kasutajate ja seadmete pöördumistes ebakorrapärasusi, et tuvastada võimalikke ründeid. Aoratolt omandatud oskusteabe baasil ongi Microsoft Advanced Threat Analytics (ATA) teenus välja töötatud.

Microsofti asepresidendi Brad Andersoni sõnul soovivad ettevõtted selgemat ja järelduste tegemiseks sobivat infot turvaohtude kohta ning selleks on olemasolevad platvormid liiga kohmakad. Lisaks loovad kaasaegsed turvalahendused nii suurel hulgal väärpositiivseid tulemusi, et neist on peaaegu võimatu aru saada ning kiiresti reageerida. ATA kasutab analüüsiks võrgu pakette (Deep Packet Inspection), informatsiooni AD-s registreeritud kasutajate ja seadmete kohta ning konkreetseid juhtumeid.

Alates augusti algusest on ATA toode osa kahest pilveteenuste ning pilveteenuseid kasutavate seadmete haldamiseks mõeldud toodetest Enterprise Mobility Suite ja Enterprise Cloud Suite. Alates 1. augustist koosneb Enterprise Mobility Suite järgmistest toodetest:

  • Azure Active Directory Premium (õiguste haldus pilves, mis töötab koos kohaliku AD-ga kui ka iseseisvalt, kasutajate single sign-in pilveteenustes);
  • Microsoft Intune (arvutite ja nutiseadmete haldus pilves, integratsioon System Center Configuration Manageriga, tarkvara jagamine nutiseadmetele);
  • Azure Rights Management Service (dokumentidele ligipääsupoliitikate seadmine ning turvaline väljajagamine)
  • Microsoft Advanced Threat Analytics (Active Directory ligipääsude ja võrgu monitoorimine rünnete tuvastamiseks)

Neist ATA on ainus, mis on kohe algusest mõeldud kohalikku võrku paigaldamiseks. Suur osa MATA funktsionaalsusest on Azure Active Directory tootes olnud juba pikemat aega, kuna see on üks väheseid komponente, mille üle pilves kontroll on. Nutikasutajad asuvad peamiselt väljapool kohtvõrku ning kasutavad suurt hulka erinevaid pilveteenuseid, seetõttu on AD kasutamise anomaaliad peamine viis ründe tuvastamiseks. Microsoft pakub nüüd võimalust luua samasugune kaitse ka ettevõtte kohtvõrgus sidudes info kohalikus Active Directorys ning võrguseadmetes.

ATA analüüsib infot, mida kogub Active Directoryga seotud võrguliiklusest ning seadmete logidest (Security Information Event Management). Selle info baasil loob ATA dünaamilised kasutusprofiilid iga kasutaja ja seadme kohta ning asetab need turvakaardile (Organizational Security Graph). Turvakaardil kujutatakse kasutajate ja seadmete tegevused, omavaheline suhtlus ning tegevuste kontekst. Peale turvakaardi koostamist hakatakse esile tõstma neid kasutajate tegevusi, mis väljuvad koostatud kasutusprofiili raamidest. Näiteks kui töötaja logib süsteemi ebatavalisest asukohast või ebatavalisel kellaajal või üritab ligi saada dokumentidele, millega ta tavaliselt ei tegele. Või kui kasutaja tegevus vastab mõnele tuntud ründestsenaariumile. Ning isegi seda kui paroole saadetakse üle võrgu liht-teksti kujul.

Advanced Threat Analytics annab häiret, kui püütakse ära arvata kasutajanimesid

Advanced Threat Analytics annab häiret, kui püütakse ära arvata kasutajanimesid

ATA toote disaini juures on silmas peetud kasutajaliidese lihtsust ning analüüsis püütakse vältida väärpositiivseid leide. Üks meetod väärpositiivsete leidude vältimiseks on kasutusprofiilide loomisel terve õiguste grupi tegevuste arvestamine. Näiteks raamatupidajate grupis tegeleb üks raamatupidaja tavaliselt ühe dokumenditeegiga ja teine raamatupidaja teise dokumenditeegiga. Puhkuste ajal on aga raamatupidajal vaja kasutada mõlemat teeki. ATA võtab arvesse, et raamatupidajate kasutajagrupp kasutab mõlemat teeki ning ei loo ajutisest teise teegi kasutamisest intsidenti.

Loodetavasti saab Advanced Threat Analytics olema just see toode, mis teeb turvalisuse haldamise arusaadavaks ka neile, kes igapäevaselt ei tegele infoturbe korraldamisega. J