精品科技化DLP記錄為UEBA 提升企業資安反應速度 智慧應用 影音
MongoDB
Event

精品科技化DLP記錄為UEBA 提升企業資安反應速度

  • DIGITIMES企劃

精品科技資安顧問及資訊安全部經理陳伯榆。
精品科技資安顧問及資訊安全部經理陳伯榆。

在2015年9月,Gartner提出User and Entity Behavior Analytics(UEBA),據此重新定義企業資訊安全,強調展望今後應以使用者核心,分析其與電腦、應用程式與網路等「實體」之間關聯性,以期精準而快速挖掘異常事件,並針對箇中威脅施以必要防護,不再一味沿襲過往費時建模與分析的低效模式。

精品科技資安顧問及資訊安全部經理陳伯榆強調,UEBA訴諸效率、準確與標靶等三大特色,一來較安全性資訊與事件管理(SIEM)系統或其他方案具備更佳效率,二來以極高準確率解決企業長久來資安問題,再者透過大規模行為數據分析,標靶出風險。

而精品科技所提供的X-FORT電子資料監控系統,歷經十餘年發展與精進,現已內含本機操作記錄、網路操作記錄、IM記錄、軟硬體資產、審核記錄、管理記錄,堪可因應UEBA提供重要分析數據,協助企業IT管理者洞燭機先,掌握當下任何員工的違規情事,從而立即採取因應對策,避免異常行徑釀成重大禍端。

陳伯榆重申,以資料外洩防護(DLP)而論,強項在於單項記錄分析與條列呈現,需融入資安風險的高感知能量,始可優化警示設定,至於SIEM系統則礙於收容過多瑣碎記憶體,導致分析效率不彰,顯見兩者皆無法「即時快速」呈現資安風險的標靶目標,尚需費人力整理分析;如此無異將導致企業資安人力成本層疊加上,著實不夠經濟。

意欲彌補上述缺陷,便須藉助新一代DLP系統與UEBA兩相結合,才能隨時勾稽出企業內部資安戰情、即時通訊行為分析、人的行為狀態分析、異常電腦網路寫出、雲端活動行為分析、異常的上網路活動...等完整拼圖,讓企業清楚看見風險,並適時展開應變處理。

從UEBA進化  建立企業新風險防禦機制

究竟X-FORT與UEBA的結合之下,能讓企業窺見哪些細微癥候?陳伯榆舉例指出,例如透過「使用者電腦使用分析」,管理者可輕易捕捉任何部門或個人超時使用電腦的記錄,進一步排除加班狀況,針對無故長時間使用電腦者,搭配其他分析項目,快速探索這些部門或個人是否從事高風險行為。

比方說,藉由「使用者雲端行為整合分析」、「使用者Web post行為分析」之交叉比對,探查前述異常的部門或個人,是否利用雲端或網路寫出檔案,進而勾稽寫出檔案的數量、檔名、連結的雲端服務,及Webpost累計數值、上傳目的地,以判斷這些行徑是否符合企業預設的警示範圍。

此外,管理者亦可藉助「網頁瀏覽分類與常用連接關聯特徵」,據以快速掌握任何部門或個人,是否造訪公司明令禁止的網站,又或者能透過對於各項執行緒的充分掌握,藉此探查各部門或個人瀏覽行為的合理性。

值得一提的,X-FORT可透過記錄進一步分析「人為上網與異常時段分析」,幫助管理者有效分析上班時間、非上班時間的上網行為;而精品科技蒐集半個月時間的記錄,協助某機構從多達7.6萬筆的人為上網行為記錄中,找出4筆異常資料,發現有極少數員工曾在凌晨2~4點,試圖透過公司電腦連結內部系統,但經查這些員工並未在相關時段於公司內部挑燈夜戰,顯示這些跡象大有玄機,值得管理者深入探究,檢視到底是該同仁利用翻牆軟體操作內部電腦?或者遭到駭客入侵?

除此之外,X-FORT還可多面向分析,例如「網頁瀏覽行為分析」、「流量與風險程序分析」、「使用Google網頁類型分析」、「上網關注面向分析」、「即時通訊風險分析」、「郵件寄送分析」、「FTP軌跡記錄分析與追蹤」、「電腦連網時段分析」(註:此處指非人為操作)、「列印行為分析與估算」、「檔案寫出資安風險分析」、「檔案操作行為統計分析」、「寫出檔案與寫出程式的數量與大小分析」、「檔案操作分析」、「軟體資產與軟體風險分析」、「使用者軟體操作分析」、「軟體使用狀態分析」等眾多細膩的查找功能,幫助管理者快速抽絲剝繭,立即掌握部門或個人違規、異常事證;察覺某員工正密集寫出檔案,此時管理者便可旋即搭配寫出檔案大小、檔名與寫出類型等輔助資訊,判斷此舉是否蘊藏高度資安風險。