Netzadministrator

Leitfaden zur Erkennung von Insider-Bedrohungen: Strategien und Tools zur Schadensbegrenzung

Leitfaden zur Erkennung von Insider-Bedrohungen



Die Erkennung von Insider-Bedrohungen ist eine von mehreren jüngsten Entwicklungen in der Cybersicherheit. Das Problem der Bedrohung durch Insider ist so groß geworden, dass die US-Regierung das eingerichtet hat Nationale Task Force für Insider-Bedrohungen (ITTF) im September 2011. Die Hauptaufgabe der Task Force besteht darin, eine Richtlinie zur Erkennung und Prävention von Insider-Bedrohungen für Regierungsbehörden festzulegen. Sie müssen sicherstellen, dass Ihr Unternehmen ähnliche Maßnahmen ergreift, um zu verhindern, dass Insider Ihr System sabotieren oder vertrauliche Daten stehlen.

Was ist eine Insider-Bedrohung?

Jeder kann das Konzept verstehen eine Bedrohung zu einem System. Die meisten Cybersicherheitstools zielen darauf ab, Hacker und Malware daran zu hindern, ein Netzwerk oder andere Unternehmensressourcen anzugreifen. Ein Insider ist jemand, der berechtigt ist, das System des Unternehmens zu nutzen.



Während Angriffe von außen viele softwarebasierte Systeme umfassen können, wie Fernzugriffstrojaner, DDoS-Angriffe, Ransomware, Spyware und Viren, handelt es sich bei Bedrohungen von innen fast ausschließlich um Angriffe manuelle Prozesse . Ein Insider kann dem System Schaden zufügen, indem er Daten löscht, Programme entfernt oder Systemkonfigurationen ändert, aber das Hauptaugenmerk einer Insider-Bedrohung liegt darauf Datendiebstahl .

Während die Beschädigung oder Entfernung von Systemsoftware ein Problem darstellen kann, gibt es in einem Unternehmen nur sehr wenige Kontoinhaber, die in der Lage sind, diese Aktionen sinnvoll durchzuführen. Wenn beispielsweise ein Mitarbeiter die Produktivitätssuite von seinem eigenen Arbeitsplatz deinstalliert, fügt er der Organisation nicht wirklich großen Schaden zu. Unternehmensweite Anwendungen, wie ein Webserver oder Datenbanksysteme, können nur sein manipuliert durch eine sehr begrenzte Anzahl von Personen innerhalb der IT-Abteilung.



Kleine Unternehmen sind aufgrund ihrer begrenzten Anzahl an Mitarbeitern und Partnern anfälliger für Sabotage, da die von diesen Unternehmen verwendeten kleineren Softwarepakete tendenziell weniger Unterschiede zwischen Betreibern und Administratoren aufweisen. Doch selbst in kleinen Unternehmen liegt der Fokus auf Insider-Bedrohungen Datenprobleme .

Welche Insider stellen eine Bedrohung dar?

Es gibt acht Arten von Mitarbeitern, die eine Bedrohung für ein Unternehmen darstellen:

  • Verärgerter Mitarbeiter – Eine Person, die das Gefühl hat, vom Unternehmen unfair behandelt zu werden, bei einer Beförderung übergangen zu werden, ihr Überstundenvergütung oder Spesen verweigert zu werden oder Groll gegen einen Vorgesetzten oder Abteilungsleiter hegt.
  • Abgang – Eine Person, die von einem Konkurrenzunternehmen abgeworben wurde, könnte sich dazu verleiten lassen, Geschäftsdaten zum Vorteil des neuen Arbeitgebers mitzunehmen.
  • Fünfter Kolumnist – Ein Mitarbeiter, der eine politische Voreingenommenheit gegenüber dem Unternehmen und seinen Aktivitäten hegt und versucht, die Rentabilität oder Lebensfähigkeit des Unternehmens zu gefährden.
  • Manipuliertes Individuum – Jemand, der unter sozialem oder moralischem Druck steht, gegen die Interessen des Unternehmens zu arbeiten.
  • Nachlässiger Mitarbeiter – Jemand, der nicht die Absicht hat, das Unternehmen zu sabotieren oder Informationen preiszugeben, sondern durch fahrlässige Nichtbeachtung bewährter Praktiken Schaden verursacht und wahrscheinlich indiskret mit Daten- oder Systemzugriffsdaten umgeht.
  • zu viel ausgeben – Eine Person, die mehr Geld braucht, als sie verdient, und die Gefahr läuft, durch den Verkauf von Unternehmensdaten Geld zu verdienen.
  • Ehemaliger Angestellter – Eine Person, die das Unternehmen verlassen hat, deren Systemzugriff jedoch nicht entzogen wurde.
  • Hinweisgeber – Eine Person, die sich durch die Offenlegung von Geschäftsgeheimnissen eines Unternehmens moralische Belohnung verschaffen möchte.

Minimierung von Insider-Bedrohungen

Vor der Annäherung Erkennung von Insider-Bedrohungen , muss eine Organisation Systemkontrollen implementieren, die Datendiebstahl oder Systemschäden erschweren. Die Minimierung des Potenzials für Mitarbeiteraktionen ist die erste Phase von Insider-Bedrohungsmanagement .

Eine Strategie zur Reduzierung des Potenzials für Insider-Bedrohungen lässt sich in zwei Kategorien einteilen:

  • Identitäts- und Zugriffsmanagement (IAM)
  • Verhinderung von Datenverlust (DLP)

Diese beiden Themen werden im Folgenden ausführlich erläutert.

Identitäts- und Zugriffsverwaltung

Beim Identitätsmanagement geht es um die Erstellung von Benutzerkonten, die dann auf Ressourcen angewendet werden können. Die Benutzerkontenverwaltung ist eine wirksame Abschreckung gegen Insider-Bedrohungen, wenn sie sorgfältig umgesetzt wird.

Identitätsmanagement Zu den Aufgaben gehört die Erstellung von Ebenen und Benutzertypen. Dies erfordert die Definition verschiedener Zugriffsarten, die für unterschiedliche Geschäftsrollen erforderlich sind. Die allgemeine Benutzerpopulation sollte in eine Kategorie fallen. Diese Kategorie könnte weiter nach Abteilungen aufgeteilt werden. Dies gilt sowohl für Benutzer der Finanzabteilung als auch für Personalmitarbeiter Zugang zum Beispiel auf verschiedene Softwarepakete.

Durch die Definition der Anforderungen verschiedener Berufsbezeichnungen kann der Systemadministrator zu einer Reihe von Benutzerprofilen gelangen. Jedes Profil wird von der Software definiert Benutzergruppe Anforderungen, die Hardwareressourcen, auf die sie zugreifen müssen, um arbeiten zu können, und die Datenspeicher, auf die die Gruppe zugreifen muss. Profile werden durch die Zugriffsebene auf die Daten, die sie jeweils benötigen, weiter verfeinert – schreibgeschützt oder Bearbeitungsrechte.

Benutzerprofil die höhere Berechtigungsstufen beinhalten, sollten einer sehr begrenzten Anzahl von Benutzern zugewiesen werden. Technikerprofile sollten stark eingeschränkt sein und so weiter Technikerprofile Benutzer, die über volle Superuser-Rechte verfügen, sollten nur wenigen Mitgliedern der Organisation zugewiesen werden.

Verhinderung von Datenverlust

Maßnahmen zur Verhinderung von Datenverlust sind für eine begrenzte Art von Daten wichtiger. Unternehmen speichern Daten nur, weil sie nützlich sind. Einige Datentypen sind jedoch wichtiger als andere. Wenn Ihre Branche rechtlichen Beschränkungen hinsichtlich der Offenlegung von Daten oder Branchenstandards unterliegt, wie z PCI-DSS oder HIPAA , müssen Sie Ihre höchsten Bemühungen zur Verhinderung von Datenverlust auf die Datentypen konzentrieren, die in den Standards festgelegt sind, zu deren Einhaltung Ihr Unternehmen verpflichtet ist.

Die Verhinderung von Datenverlust umfasst Auffinden aller Speicher sensibler Daten und die Einführung zusätzlicher Tracking- und Schutzmaßnahmen an diesen Standorten. Da alle vom Unternehmen gespeicherten Daten wichtig sind, müssen alle Datenzugriffsereignisse nachverfolgt werden.

Insider-Bedrohungsmanagement

Insider-Bedrohungsmanagement ist der Prozess der Kombination Identitäts- und Zugriffsverwaltung mit Verhinderung von Datenverlust .

Es gibt kein System, das Ihnen eine 100-prozentige Garantie dafür geben kann, dass Sie niemals einer Insider-Bedrohung ausgesetzt sind. Selbst wenn Ihr IT-System so eng wie möglich ist, sind Sie immer noch mit der Gefahr von Stift und Papier konfrontiert. Neben effektiven IT-Kontrollen für Insider-Bedrohungen müssen Sie auch dies tun physische Zugangskontrollen implementieren vor Ort, Personalprofilierung und persönliche Mitarbeiterüberwachung.

Sie können Ihre Insider-Bedrohungsmanagementstrategie durch die Implementierung einer Transaktionsüberwachung verfeinern.

Analyse des Benutzer- und Entitätsverhaltens

Automatisierte Überwachungssysteme können jedes im IT-System auftretende Ereignis problemlos verfolgen. Es ist jedoch schwierig herauszufinden, welches Ereignis eine Sicherheitsbedrohung darstellt. Glücklicherweise wurde ein Kompetenzbereich genannt Analyse des Benutzer- und Entitätsverhaltens (UEBA) hilft bei dieser Aufgabe.

UEBA ist ein KI-Tool und eine fortgeschrittene Art des maschinellen Lernens. Ein UEBA-System zeichnet jede stattfindende Transaktion auf, insbesondere solche, die den Zugriff auf Daten beinhalten. Im Laufe der Zeit definiert sich das UEBA-System ein Standard für normales Verhalten . Sobald das UEBA-System lange genug in Betrieb ist, um eine vernünftige Einschätzung des Standardverhaltens zu ermöglichen, ist es einfacher, verdächtiges Verhalten zu erkennen.

Sie können einem Computer keine Anweisung erteilen, nach verdächtigen Aktivitäten Ausschau zu halten, da es nahezu unmöglich ist, zu definieren, was es ist und was nicht. verdächtig .“ UEBA konzentriert sich darauf, herauszufinden, was regelmäßiges Verhalten sieht aus wie und löst dann eine Warnung aus, wenn etwas passiert weicht ab aus diesem Standard erfolgt. Dieses Tool ermöglicht es Systemsicherheitsspezialisten, sich auf wahrscheinliche Insider-Bedrohungen zu konzentrieren, anstatt jede einzelne Transaktion überwachen zu müssen.

Ereignisprotokollierung

Da kein System hundertprozentig narrensicher ist, ist es eine gute Idee, auf das Beste zu hoffen, aber für das Schlimmste zu planen. Sie müssen Systeme einrichten, die Ihnen dies ermöglichen Untersuchen Sie Insider-Bedrohungen sobald sie eingetreten sind. Selbst wenn Sie sehr strenge Kontrollen einführen, kann es sein, dass jemand sie eines Tages einfach umgeht.

Die Protokollierung aller Vorgänge erzeugt eine große Datenmenge. Jedoch , Lagerung ist sehr günstig Heutzutage sind die Kosten für die Aufbewahrung all dieser Protokollnachrichten minimal. Wenn Aufzeichnungen aller Ereignisse gespeichert sind, können sie nach Anzeichen eines Angriffs durchsucht werden. Wenn Sie jemals entdecken, dass ein Insider es versucht Daten stehlen oder Sie stellen fest, dass gerade ein Datenverlust aufgetreten ist. Sie müssen die Protokolle durchsuchen, um alle früheren Aktivitäten dieses Benutzers anzuzeigen, da es unwahrscheinlich ist, dass Sie ihn zufällig beim ersten Versuch erwischt haben.

Wenn Sie es zeigen müssen Einhaltung Gemäß einem Datensicherheitsstandard ist die Ereignisprotokollierung eine Voraussetzung und keine Option.

Triage

Bei der Triage konzentrieren Sie Ihre Bemühungen auf die wahrscheinlichste Quelle einer Bedrohung. UEBA und automatisierte Aktivitätsverfolgung helfen Ihnen, wahrscheinlich bösartige Benutzerkonten zu identifizieren. Sobald diese Kandidaten identifiziert sind, sollten Sie ihre Aktivitäten einer genauen Prüfung unterziehen. Sie können niemanden wegen des Verdachts böswilliger Aktivitäten entlassen; Du brauchst einen Beweis.

Dokumentenkontrollen

Dokumente und Folienpräsentationen enthalten nicht nur Daten, sondern sind auch eine wichtige Methode zur Weitergabe von Unternehmensstrategien. Elektronische Dateien können einfach kopiert und per E-Mail versendet oder auf einem Speicherstick aus dem Gebäude mitgenommen werden.

Der erste Schutz vor Datendiebstahl durch Dokumente besteht darin, alle Dokumente zu scannen ausgehende E-Mails zur Befestigung und Blockierung USB-Buchsen auf Arbeitsplätzen.

Nicht alle E-Mail-Anhänge sind Datendiebstahlversuche – es ist eine gängige Geschäftspraxis, Angebote, Bestellungen, Rechnungen, Vorschläge, Verkaufsgespräche und Quittungen als Anhänge zu versenden. Daher muss das Scannen ausgehender Anhänge ausgefeilt sein.

Die weitere Verteidigungslinie für die Dokumentenkontrolle liegt bei Fingerabdrücke . Wenn wichtige Dokumente durchgesickert sind, sollte es einfacher sein, den verantwortlichen Insider aufzuspüren, wenn alle Dokumentenzugriffs- und -verteilungssysteme jede Kopie mit einer Kennung kennzeichnen.

Kontrolle des Datenabflusses

Im Rahmen von Systemen zur Verhinderung von Datenverlust sensible Daten wird mit strengeren Kontrollen geortet und verfolgt. Bei diesen Kontrollen sollte besonders auf jeden Versuch geachtet werden, diese Datentypen als Anhang einer E-Mail zu versenden oder auf einen Speicherstick zu kopieren. Dies wendet Triage auf die Datenbewegungsverfolgung an.

Aktivitätsüberwachung

Alle oben genannten Strategien zum Management von Insider-Bedrohungen basieren auf der Aktivitätsverfolgung. Es müssen analytische Werkzeuge angewendet werden Ereignisprotokollierung Systeme können eine Reihe von Aktionen zusammenfassen, die zu einem Datenverlustereignis beitragen können. Denn Datendiebstahl umfasst typischerweise mehrere Schritte. Jeder dieser Schritte für sich genommen könnte harmlos erscheinen. Erst wenn diese Ereignisse miteinander verknüpft werden, wird der Diebstahl offensichtlich.

Alle oben aufgeführten Elemente tragen dazu bei eine wirksame Aktivitätsüberwachungsstrategie . Kontrollen von Benutzerkonten, die durch eine Identitäts- und Zugriffsverwaltungsstrategie implementiert werden, begrenzen die Anzahl der Konten, die gründlich überwacht werden müssen. Techniken zur Verhinderung von Datenverlust, die die Speicher sensibler Daten identifizieren, geben Aktivitätsmonitoren Aufschluss darüber, auf welche Teile des Systems sie sich konzentrieren müssen.

Wenn also ein Benutzerkonto mit hohen Berechtigungsrechten auf einen Speicher sensibler Daten zugreift, liegt eine Aktivität vor, die genau verfolgt werden muss. Was für ein Benutzerkonto tut als nächstes ist sehr wichtig. Sie möchten den Zugriff auf sensible Daten nicht vollständig sperren, da diese Daten zu Referenzzwecken gespeichert werden und viele Abteilungen Ihres Unternehmens ohne sie nicht funktionieren würden. Sie möchten diese Superuser-Konten auch nicht blockieren – sie wurden aus einem bestimmten Grund erstellt.

Aktivitätsüberwachung verwendet Triage um einen Monitor auszulösen, wenn auf sensible Daten zugegriffen wird, einen Alarm auszulösen, wenn eine nachfolgende Aktion außerhalb des normalen Arbeitsverhaltensmusters (von der UEBA festgelegt) liegt, und eine genaue Prüfung durchzuführen Ermittlungsverfahren die Ereignisprotokolle durchsuchen.

Tools zur Verwaltung von Insider-Bedrohungen

Sie müssen viele Daten schützen und viele Aktivitäten überwachen. Natürlich können Sie nicht alles manuell erledigen. Glücklicherweise lässt sich Ihre gesamte Insider-Bedrohungsmanagement-Strategie mit umsetzen nur ein paar Spezialwerkzeuge . Hier sind zwei Tools, die zeigen, wie zwei Spezialgebiete alle Aufgaben abdecken können, die Sie in Ihrem System zur Erkennung von Insider-Bedrohungen ausführen müssen.

Dies sind nicht die einzigen Werkzeuge auf ihrem Gebiet, aber wir halten sie für die besten.

Endpoint Protector von CoSoSys (Zugriff auf kostenlose Demo)

Endpoint Protector Mobile Device Management

Endpunktschutzist ein Verhinderung von Datenverlust System, das in der Cloud gehostet wird. Die Abwehr von Insider-Bedrohungen ist ein zentraler Dienst in diesem Sicherheitssystem. Der Endpoint Protector-Dienst implementiert drei Strategien, um Insider-Bedrohungen zu blockieren: Verfolgung der Geräteaktivität, Klassifizierung der Datenvertraulichkeit und Überwachung der Anwendungsnutzung.

Das Endpoint Protector-System überwacht laufende Geräte Windows , Mac OS , Und Linux . Es überprüft USB-Steckplätze, um Dateiübertragungsaktivitäten zu überwachen, und kann das Kopieren bestimmter Dateien blockieren. Die Einstufung, welche Dateien besondere Kontrollen erfordern, ergibt sich aus a Datenklassifizierung System. Dann legen Sie fest Sicherheitsrichtlinien im Zusammenhang mit verschiedenen Datenklassifizierungen.

Das System zur Erstellung von Sicherheitsrichtlinien kann zwischen Geschäftsabteilungen, Benutzergruppen oder Benutzerstatus unterscheiden. Somit wäre es bestimmten Personen in einer bestimmten Abteilung gestattet, eine Dateikategorie zu übertragen, während dies gleichzeitig anderen Benutzern gestattet wäre verstopft von der Durchführung solcher Aktionen.

Die Anwendungskontrollen in Endpoint Protector überwachen die in ausgeführten Aktivitäten Microsoft Outlook , Skype , Und Dropbox . Der Dienst kann auch die an Drucker gesendeten Daten überwachen. Somit werden alle Kanäle zur Datenweitergabe überwacht – Speichersticks, E-Mails, Chat-Apps, Drucker und Dateiübertragungen.

Endpoint Protector wird als angeboten SaaS System. Sie können sich dafür entscheiden, das Paket als Service zu erwerben AWS , GCP , oder Azurblau Server. Es ist auch möglich, die Software für Endpoint Protector zu erwerben und auf Ihrem eigenen System zu installieren virtuelle Appliance .

Vorteile:

  • Kann Insider-Bedrohungen durch eine Vielzahl von Funktionen verhindern
  • Benutzerdefinierte Sicherheitsrichtlinien können auf dem Benutzer statt auf der Maschine basieren
  • Bewertet das Risiko automatisch anhand der am Endpunkt gefundenen Schwachstellen
  • Kann vor unsachgemäßem Dateizugriff oder Insider-Bedrohungen warnen (dient als DLP-Lösung)
  • Verhindert Datendiebstahl und BadUSB-Angriffe durch Gerätesteuerungseinstellungen

Nachteile:

  • Ich würde gerne eine Testversion zum Testen sehen

Sie können den Zugang zur kostenlosen Demo anfordern, um den Service ohne Risiko zu testen.

Endpoint Protector Access KOSTENLOSE Demo

SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)

Manager für Sicherheitsveranstaltungen bei Solarwinds

Der Sicherheitsereignismanager aus SolarWinds ist eine Kategorie von Sicherheitssoftware namens SIEM . Es sammelt und durchsucht Protokollnachrichten, um nach Bedrohungen zu suchen – sowohl Einbruchs- als auch Insider-Bedrohungen.

Es werden ständig Protokollmeldungen generiert und deren Auslesen ermöglicht eine Quelle für Live-Aktivitätsdaten . Der Security Event Manager sammelt Protokollmeldungen von jedem Teil des Systems und bringt sie in ein gemeinsames Format. Dies ermöglicht dem SIEM, Protokolle zu durchsuchen Ereigniskorrelationen – Muster verschiedener Ereignisse, die zusammengenommen auf eine Sicherheitsverletzung hinweisen.

Das SEM verwendet UEBA um eine Grundlinie für normales Verhalten festzulegen, anhand derer Anomalien identifiziert werden können. Wenn ein potenzielles Insider-Bedrohungsereignis erkannt wird, löst das SEM eine Warnung aus und macht auf dieses Benutzerkonto aufmerksam. Alle Protokolldatensätze werden zur Aktivierung gespeichert historische Analyse . Sobald also ein Benutzerkonto als angezeigt identifiziert wird verdächtiges Verhalten können alle Aktivitäten dieses Benutzers bis zu diesem Zeitpunkt abgerufen werden.

Der Security Event Manager ist umsetzbar Reaktion auf Vorfälle Aktionen automatisch. Es kann ein Konto sperren, einen Memory Stick auswerfen, alle ausgehenden E-Mails eines Benutzers blockieren und diesen Benutzer vom System abmelden. Die Möglichkeit, automatische Reaktionen auszulösen, liegt beim Systemadministrator – ein alternativer Ansatz wäre, das System Warnungen auslösen zu lassen und die Reaktion dann einem Entscheidungsträger zu überlassen, sobald eine weitere Analyse durchgeführt wurde.

Vorteile:

  • Unternehmensorientiertes SIEM mit einer breiten Palette an Integrationen
  • Einfache Protokollfilterung, keine Notwendigkeit, eine benutzerdefinierte Abfragesprache zu erlernen
  • Dutzende Vorlagen ermöglichen Administratoren den Einstieg in die Verwendung von SEM mit nur wenigen Einrichtungs- oder Anpassungsarbeiten
  • Einfach zu bedienende und anpassbare Benutzeroberfläche
  • Das Tool zur historischen Analyse hilft dabei, anomales Verhalten und Ausreißer im Netzwerk zu finden

Nachteile:

  • SEM ist ein fortschrittliches SIEM-Produkt, das für Profis entwickelt wurde. Es erfordert Zeit, die Plattform vollständig zu erlernen

SolarWinds Security Event Manager wird installiert auf Windows Server und es ist als 30-tägige kostenlose Testversion verfügbar.

Laden Sie SolarWinds Security Event Manager als 30-tägige KOSTENLOSE Testversion herunter

Teramind DLP

Teramind-Screenshot

Teramind DLP Ist eine Datenverlustverhinderung System, das über Vorlagen verfügt, um seine Abläufe an bestimmte Datensicherheitsstandards anzupassen. Dies ist ein hervorragendes Tool zum Schutz vor Insider-Bedrohungen für Unternehmen, die die Vorschriften einhalten müssen PCI DSS , HIPAA , ISO 27001 , Und DSGVO Standards.

Wie der Name schon sagt, konzentriert sich Teramind DLP auf den Schutz von Daten. Es ist ideal zum Blockieren von Eindringlingen und Insider-Bedrohungen. Das Tool startet seinen Dienst, indem es das gesamte IT-System nach allen Datenbeständen durchsucht. Anschließend wird jeder Datenspeicherort nach bestimmten Daten durchsucht Arten von Daten und kategorisiert sie. Dadurch kann sich der Dienst auf bestimmte Daten konzentrieren, insbesondere auf die Arten von Informationen, die ein bestimmter Datensicherheitsstandard schützen soll.

Die Suche nach sensiblen Daten dauert die gesamte Lebensdauer des Systems an. Alle Ereignisse im Zusammenhang mit identifizierten sensiblen Daten sind verfolgt und protokolliert . Während die Datenspeicher überwacht werden, analysiert das System auch alle Benutzerkonten . Es setzt um UEBA um einen Gesamtüberblick über die normale Aktivität zu erhalten und anschließend anomales Verhalten zu erkennen. Selbstverständlich wird bei ungewöhnlichen Aktivitäten, bei denen vertrauliche Daten berührt werden, eine Warnung ausgelöst.

Neben der Daten- und Benutzerüberwachung führt der Dienst auch Kontrollen durch Datenübertragungen über das Netzwerk, in E-Mails und auf Speichersticks. Jede nicht autorisierte Aktivität wird blockiert. Das System umfasst auch Ermittlungstools für historische Datenanalyse und Reaktionsmethoden sowie Überwachungssysteme, wie z. B. ein Tastenanschlag-Logger, der auf verdächtige Benutzerkonten angewendet werden kann.

Teramind DLP verhindert Datenverlust, überwacht Datendiebstahlereignisse und untersucht Ereignisse, nachdem sie eingetreten sind. Dies ist ein vollständiges Datenschutzsystem für Insider-Bedrohungsmanagement .

Vorteile:

  • Hochgradig visuelle Berichterstattung und Echtzeitüberwachung
  • Entwickelt unter Berücksichtigung der Compliance und bietet vorkonfigurierte Berichte
  • Geht über die Dateiüberwachung hinaus und bietet Optionen für aktive Sitzungsüberwachung und Keylogging
  • Ist sehr umfassend – ideal für komplexe Netzwerke und Unternehmen

Nachteile:

  • Die Plattform versucht, alles zu tun, was für diejenigen, die nur Tools zur Erkennung von Insider-Bedrohungen verwenden möchten, überwältigend sein kann
  • Diese Plattform weist im Vergleich zu Konkurrenzprodukten eine steilere Lernkurve auf
^