Обнаружение невозможных перемещений
Что такое Обнаружение невозможных перемещений?
Обнаружение невозможных перемещенийДетектор, помечающий последовательные входы из географически удалённых точек, между которыми невозможно физически переместиться за прошедшее время.
Обнаружение невозможных перемещений сравнивает IP-геолокацию двух успешных аутентификаций одной учётной записи и вычисляет подразумеваемую скорость. Если пользователь вошёл в Нью-Йорке в 09:00 UTC, а в Сингапуре в 10:30 UTC, скорость значительно превышает коммерческую авиацию, и второе событие считается подозрительным. Microsoft Entra ID, Okta ThreatInsight, Google Workspace и большинство SIEM предлагают аналитику «нетипичных перемещений» или «необычной локации», обычно вместе со списками репутации VPN и выходных узлов Tor, чтобы снизить ложные срабатывания. В одиночку сигнал редко окончателен — современные плейбуки используют его для запуска step-up аутентификации или отзыва сессии в рамках техники MITRE ATT&CK T1078 (Valid Accounts).
● Примеры
- 01
Рискованный вход Entra ID с меткой «atypical travel», когда одна и та же учётка появляется из Парижа и Сан-Паулу за 30 минут.
- 02
Политика Okta ThreatInsight, отзывающая сессии при гео-скорости свыше 800 км/ч.
● Частые вопросы
Что такое Обнаружение невозможных перемещений?
Детектор, помечающий последовательные входы из географически удалённых точек, между которыми невозможно физически переместиться за прошедшее время. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Обнаружение невозможных перемещений?
Детектор, помечающий последовательные входы из географически удалённых точек, между которыми невозможно физически переместиться за прошедшее время.
Как работает Обнаружение невозможных перемещений?
Обнаружение невозможных перемещений сравнивает IP-геолокацию двух успешных аутентификаций одной учётной записи и вычисляет подразумеваемую скорость. Если пользователь вошёл в Нью-Йорке в 09:00 UTC, а в Сингапуре в 10:30 UTC, скорость значительно превышает коммерческую авиацию, и второе событие считается подозрительным. Microsoft Entra ID, Okta ThreatInsight, Google Workspace и большинство SIEM предлагают аналитику «нетипичных перемещений» или «необычной локации», обычно вместе со списками репутации VPN и выходных узлов Tor, чтобы снизить ложные срабатывания. В одиночку сигнал редко окончателен — современные плейбуки используют его для запуска step-up аутентификации или отзыва сессии в рамках техники MITRE ATT&CK T1078 (Valid Accounts).
Как защититься от Обнаружение невозможных перемещений?
Защита от Обнаружение невозможных перемещений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обнаружение невозможных перемещений?
Распространённые альтернативные названия: Нетипичное перемещение, Аномалия гео-скорости.
● Связанные термины
- identity-access№ 015
Адаптивная аутентификация
Подход к аутентификации, который в реальном времени меняет силу и число требуемых факторов на основе сигналов: устройства, локации, поведения.
- identity-access№ 940
Аутентификация на основе риска (RBA)
Стратегия аутентификации, при которой для каждого входа вычисляется оценка риска и в зависимости от неё применяется разрешение, дополнительная проверка или блокировка.
- identity-access№ 1103
Step-Up аутентификация
Шаблон, требующий дополнительных или более сильных факторов, когда пользователь выполняет операцию с большим риском, чем разрешает текущая сессия.
- attacks№ 010
Захват учётной записи (ATO)
Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.
- attacks№ 1016
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
- defense-ops№ 1189
UEBA (Аналитика поведения пользователей и сущностей)
Технология обнаружения, формирующая профили нормального поведения пользователей и сущностей и выявляющая статистические или ML-аномалии, указывающие на компрометацию или внутренние угрозы.