使用者行為視覺化 有效發掘資安風險

精品科技資安顧問兼資安部經理陳柏榆。

根據世界經濟論壇2016風險報告書，數據竊取與造假及網路攻擊，將是未來10年特別需要注意的風險，精品科技資安顧問兼資安部經理陳伯榆指出，企業應該強化資安數據鑑識，建立企業新風險防禦機制。

陳伯榆認為，資安應該要將「實體」做為分析中重要的一環，進化到User and Entity Behavior Analytics(UEBA)，掌握使用者與其接觸的實體(Entity)之間的關聯，注意Endpoint、Network及Application三者之間形成的緊密關係，不能只是記錄單一行為或面向，而是要做大規模的資料分析，了解之間的關聯，以求能夠更精確找到異常事件。

陳伯榆指出，企業的每個人都會因為性別、職務、部門，而有其角色應有的行為，所有的行為其實都會有跡可循，資安思維應該要以「人」為核心，再從多重事實來判斷，設法做到行為預測及現況行為分析。

陳伯榆指出過去的資安風險警示與管控模式，多半都是從用Log、Events及Alerts的角度出發，但這樣還不夠，因為很多行為其實都不是員工自願的，因此除了大數據分析，資安機制也要能透過機器學習，做更詳實的行為分析，才能做到預測及管控。

如員工違反公司政策連結使用賭博網站時，有時是因為使用者連結的頁面觸發應用程式所造成，必須要分析許多項目，包括螢幕擷取記錄、觸發時間是否合理、停留時間長短、相關管控參數狀態、啟用那些相關應用程式、網頁內容記錄等，將所有因素同時考量，才能確立使用行為是否為真。

陳伯榆指出UEBA可分析的數據，以X-FORT電子資料監控系統為例，包括6個部分，分別為：網路操作紀錄、本機系統紀錄、軟硬體資產、審核紀錄、管理紀錄、行動裝置紀錄、本機操作紀錄等，再結合新一代的DLP紀錄與SIEM分析，才能做到精準風險處理與改變，達到即時快速及降低成本的兩大目標。

如即時事件警示資訊也許會有很多件，但異常電腦可能就沒那麼多台，透過企業UEBA資安戰情室，不但可以掌握電腦異常情形，還能夠掌握檔案寫出狀況的初步結果。亦可以針對使用者電腦操作活動進行整體分析，只要能掌握員工實際使用電腦時間及各種軟體的使用時間，就可以了解員工工作有無效率。

而在使用者軟體操作分析方面，由於前景及背景的執行檔差別很大，加上不同的角色會使用不同的工具，產生不同的行為，只要跟時間做比對，就可以看到有無異常行為。而在檔案寫出資安風險分析方面，任何數量上的異常，包括檔案大小及檔名，配合寫出日期的比較，就可以往下分析。

陳伯榆指出，雖然網路封包可以加密，無法看到內容，但只要用上網行為分析，就可以兼顧隱私及安全。如有些微量的行為小到不易察覺，要跟程序交叉分析，才有辦法發現異常，而流量特別大也不代表違法或工作不認真，但如果能知道當下有哪些程序被執行，才能透過風險等級，進行資訊安全治理。

陳伯榆強調，資安還應該進一步擴大到人與實體裝置的移動風險，如有人可能會直接把硬碟拔掉，但以X-FORT的BitLocker硬碟防護為例，可以做到統一管控金鑰、避免使用者私自變更金鑰、防護硬碟失竊外洩，確保維護作業安全。