Blindspotter est une solution d’analyse du comportement de l’utilisateur en temps réel (UBA – User Behavior Analytics) qui analyse les activités des utilisateurs et identifie les événements suspicieux ayant lieu sur le système informatique de l’entreprise. La solution a été conçue pour aider les entreprises à limiter l’impact des APT (Advanced Persistent Threats), identifier les activités malveillantes internes et accélérer les processus d’investigation sur les activités suspectes.

L’outil permet de traquer et visualiser l’activité des utilisateurs en temps réel afin de fournir aux entreprises une meilleure compréhension de ce qui se passe réellement sur leur réseau.

Ainsi, Blinspotter fonctionne en collectant et analysant les événements liés aux utilisateurs et les activités issues de leur session en temps réel ou quasi temps réel.

La solution compare ensuite chaque action par rapport à la base de données collectées sur les utilisateurs et collaborateurs, afin de déceler toutes anomalies ou déviance de comportement - par exemple un administrateur qui se loguerait au système en dehors des heures habituelles de travail, qui va cliquer sur son clavier à une vitesse inhabituelle…

Blindspotter est également capable de détecter une anomalie au niveau des commandes émises, ce qui signifie que si un administrateur système réalise une commande qui est différente de la commande généralement utilisée,

Blindspotter alertera automatiquement l’équipe de sécurité. Et lorsque cette anomalie est détectée, Blindspotter va automatiquement réagir pour minimiser l’impact des menaces potentielles.

Cette nouvelle solution a été conçue pour répondre aux principaux challenges actuels de la sécurité et alerter les entreprises sur les grandes menaces :

– Détection des comptes utilisateurs compromis :
Les activités d’un hacker ayant compromis un compte utilisateur légitime vont être significativement différentes de celles qu’aurait réalisé le titulaire habituel du compte : des hackers externes vont par exemple essayer de cartographier le SI en accédant à différents systèmes pour sonder les ressources disponibles ou télécharger des volumes importants de données. En réponse, l’outil Blinspotter est capable de détecter ce type d’anomalies et d’alerter automatiquement les équipes sécurité.

– Détection des abus de privilèges :
La solution Blindspotter peut également aider à détecter si un utilisateur bénéficiant d’importants accès privilégiés a tenté de copier ou dérober des données de l’entreprise ou modifier des données sensibles sans que cela soit nécessaire à son travail. De cette manière, la fuite de données peut être évitée.

–  Détection d’utilisation abusive de comptes systèmes automatisés
Les comptes de systèmes automatisés sont généralement créés par des administrateurs pour répéter des taches régulières comme la sauvegarde des bases de données ou le redémarrage de certains services durant la nuit. Ces systèmes automatisés permettent d’améliorer la productivité des administrateurs, toutefois, pour rendre leur travail plus simple, ceux-ci prennent souvent le risque d’utiliser leurs identifiants personnels. Cette pratique représente un risque important de sécurité. En effet, si un attaquant parvient à hacker le script, il aura non seulement récupérer les informations du compte de l’administrateur système mais surtout il aura par incidence accès à l’ensemble des ressources auxquelles l’administrateur a accès.

En utilisant Blindspotter, il est possible de distinguer les comptes utilisés par des machines de ceux utilisés par des hommes.

–  Analyse des contenus de l’écran de l’utilisateur
Utilisé conjointement à la solution Shell Control Box - l’Appliance de surveillance des activités des utilisateurs à privilèges de BalaBit - Blindspotter peut analyser les contenus apparaissant sur les écrans des utilisateurs, y compris les commandes émises, les logiciels utilisés ou encore les textes. Cela permet la détection de toutes les anomalies qui seraient des signes manifestes d’attaques APT ou d’un sérieux abus de privilèges.