使用者行为视觉化 有效发掘网安风险

2016/11/14 - DIGITIMES企划

根据世界经济论坛2016风险报告书，数据窃取与造假及网络攻击，将是未来10年特别需要注意的风险，精品科技网安顾问兼网安部经理陈伯榆指出，企业应该强化网安数据监识，建立企业新风险防御机制。

陈伯榆认为，网安应该要将「实体」做为分析中重要的一环，进化到User and Entity Behavior Analytics(UEBA)，掌握使用者与其接触的实体(Entity)之间的关联，注意Endpoint、Network及Application三者之间形成的紧密关系，不能只是记录单一行为或面向，而是要做大规模的数据分析，了解之间的关联，以求能够更精确找到异常事件。

陈伯榆指出，企业的每个人都会因为性别、职务、部门，而有其角色应有的行为，所有的行为其实都会有迹可循，网安思维应该要以「人」为核心，再从多重事实来判断，设法做到行为预测及现况行为分析。

陈伯榆指出过去的网安风险警示与管控模式，多半都是从用Log、Events及Alerts的角度出发，但这样还不够，因为很多行为其实都不是员工自愿的，因此除了大数据分析，网安机制也要能透过机器学习，做更详实的行为分析，才能做到预测及管控。

如员工违反公司政策连结使用赌博网站时，有时是因为使用者连结的页面触发应用程序所造成，必须要分析许多项目，包括屏幕撷取记录、触发时间是否合理、停留时间长短、相关管控参数状态、启用那些相关应用程序、网页内容记录等，将所有因素同时考量，才能确立使用行为是否为真。

陈伯榆指出UEBA可分析的数据，以X-FORT电子数据监控系统为例，包括6个部分，分别为：网络操作纪录、本机系统纪录、软硬件资产、审核纪录、管理纪录、移动设备纪录、本机操作纪录等，再结合新一代的DLP纪录与SIEM分析，才能做到精准风险处理与改变，达到实时快速及降低成本的两大目标。

如实时事件警示信息也许会有很多件，但异常电脑可能就没那麽多台，透过企业UEBA网安战情室，不但可以掌握电脑异常情形，还能够掌握档案写出状况的初步结果。亦可以针对使用者电脑操作活动进行整体分析，只要能掌握员工实际使用电脑时间及各种软件的使用时间，就可以了解员工工作有无效率。

而在使用者软件操作分析方面，由于前景及背景的执行档差别很大，加上不同的角色会使用不同的工具，产生不同的行为，只要跟时间做比对，就可以看到有无异常行为。而在档案写出网安风险分析方面，任何数量上的异常，包括档案大小及档名，配合写出日期的比较，就可以往下分析。

陈伯榆指出，虽然网络封包可以加密，无法看到内容，但只要用上网行为分析，就可以兼顾隐私及安全。如有些微量的行为小到不易察觉，要跟程序交叉分析，才有办法发现异常，而流量特别大也不代表违法或工作不认真，但如果能知道当下有哪些程序被执行，才能透过风险等级，进行信息安全治理。

陈伯榆强调，网安还应该进一步扩大到人与实体装置的移动风险，如有人可能会直接把硬盘拔掉，但以X-FORT的BitLocker硬盘防护为例，可以做到统一管控金钥、避免使用者私自变更金钥、防护硬盘失窃外泄，确保维护作业安全。


图说：精品科技网安顾问兼网安部经理陈柏榆。