使用者行為視覺化 有效發掘資安風險

  • DIGITIMES企劃
精品科技資安顧問兼資安部經理陳柏榆。

根據世界經濟論壇2016風險報告書,數據竊取與造假及網路攻擊,將是未來10年特別需要注意的風險,精品科技資安顧問兼資安部經理陳伯榆指出,企業應該強化資安數據鑑識,建立企業新風險防禦機制。

陳伯榆認為,資安應該要將「實體」做為分析中重要的一環,進化到User and Entity Behavior Analytics(UEBA),掌握使用者與其接觸的實體(Entity)之間的關聯,注意Endpoint、Network及Application三者之間形成的緊密關係,不能只是記錄單一行為或面向,而是要做大規模的資料分析,了解之間的關聯,以求能夠更精確找到異常事件。

陳伯榆指出,企業的每個人都會因為性別、職務、部門,而有其角色應有的行為,所有的行為其實都會有跡可循,資安思維應該要以「人」為核心,再從多重事實來判斷,設法做到行為預測及現況行為分析。

陳伯榆指出過去的資安風險警示與管控模式,多半都是從用Log、Events及Alerts的角度出發,但這樣還不夠,因為很多行為其實都不是員工自願的,因此除了大數據分析,資安機制也要能透過機器學習,做更詳實的行為分析,才能做到預測及管控。

如員工違反公司政策連結使用賭博網站時,有時是因為使用者連結的頁面觸發應用程式所造成,必須要分析許多項目,包括螢幕擷取記錄、觸發時間是否合理、停留時間長短、相關管控參數狀態、啟用那些相關應用程式、網頁內容記錄等,將所有因素同時考量,才能確立使用行為是否為真。

陳伯榆指出UEBA可分析的數據,以X-FORT電子資料監控系統為例,包括6個部分,分別為:網路操作紀錄、本機系統紀錄、軟硬體資產、審核紀錄、管理紀錄、行動裝置紀錄、本機操作紀錄等,再結合新一代的DLP紀錄與SIEM分析,才能做到精準風險處理與改變,達到即時快速及降低成本的兩大目標。

如即時事件警示資訊也許會有很多件,但異常電腦可能就沒那麼多台,透過企業UEBA資安戰情室,不但可以掌握電腦異常情形,還能夠掌握檔案寫出狀況的初步結果。亦可以針對使用者電腦操作活動進行整體分析,只要能掌握員工實際使用電腦時間及各種軟體的使用時間,就可以了解員工工作有無效率。

而在使用者軟體操作分析方面,由於前景及背景的執行檔差別很大,加上不同的角色會使用不同的工具,產生不同的行為,只要跟時間做比對,就可以看到有無異常行為。而在檔案寫出資安風險分析方面,任何數量上的異常,包括檔案大小及檔名,配合寫出日期的比較,就可以往下分析。

陳伯榆指出,雖然網路封包可以加密,無法看到內容,但只要用上網行為分析,就可以兼顧隱私及安全。如有些微量的行為小到不易察覺,要跟程序交叉分析,才有辦法發現異常,而流量特別大也不代表違法或工作不認真,但如果能知道當下有哪些程序被執行,才能透過風險等級,進行資訊安全治理。

陳伯榆強調,資安還應該進一步擴大到人與實體裝置的移動風險,如有人可能會直接把硬碟拔掉,但以X-FORT的BitLocker硬碟防護為例,可以做到統一管控金鑰、避免使用者私自變更金鑰、防護硬碟失竊外洩,確保維護作業安全。

更多關鍵字報導: 精品科技 資安