精品科技化DLP记录为UEBA 提升企业网安反应速度

精品科技网安顾问及信息安全部经理陈伯榆。

在2015年9月，Gartner提出User and Entity Behavior Analytics(UEBA)，据此重新定义企业信息安全，强调展望今后应以使用者核心，分析其与电脑、应用程序与网络等「实体」之间关联性，以期精准而快速挖掘异常事件，并针对个中威胁施以必要防护，不再一味沿袭过往费时建模与分析的低效模式。

精品科技网安顾问及信息安全部经理陈伯榆强调，UEBA诉诸效率、准确与标靶等三大特色，一来较安全性信息与事件管理(SIEM)系统或其他方案具备更佳效率，二来以极高准确率解决企业长久来网安问题，再者透过大规模行为数据分析，标靶出风险。

而精品科技所提供的X-FORT电子数据监控系统，历经十余年发展与精进，现已内含本机操作记录、网络操作记录、IM记录、软硬件资产、审核记录、管理记录，堪可因应UEBA提供重要分析数据，协助企业IT管理者洞烛机先，掌握当下任何员工的违规情事，从而立即采取因应对策，避免异常行径酿成重大祸端。

陈伯榆重申，以数据外泄防护(DLP)而论，强项在于单项记录分析与条列呈现，需融入网安风险的高感知能量，始可优化警示设定，至于SIEM系统则碍于收容过多琐碎存储器，导致分析效率不彰，显见两者皆无法「实时快速」呈现网安风险的标靶目标，尚需费人力整理分析；如此无异将导致企业网安人力成本层叠加上，着实不够经济。

意欲弥补上述缺陷，便须藉助新一代DLP系统与UEBA两相结合，才能随时勾稽出企业内部网安战情、实时通讯行为分析、人的行为状态分析、异常电脑网络写出、云端活动行为分析、异常的上网络活动...等完整拼图，让企业清楚看见风险，并适时展开应变处理。

从UEBA进化  建立企业新风险防御机制

究竟X-FORT与UEBA的结合之下，能让企业窥见哪些细微症候？陈伯榆举例指出，例如透过「使用者电脑使用分析」，管理者可轻易捕捉任何部门或个人超时使用电脑的记录，进一步排除加班状况，针对无故长时间使用电脑者，搭配其他分析项目，快速探索这些部门或个人是否从事高风险行为。

比方说，藉由「使用者云端行为整合分析」、「使用者Web post行为分析」之交叉比对，探查前述异常的部门或个人，是否利用云端或网络写出档案，进而勾稽写出档案的数量、档名、连结的云端服务，及Webpost累计数值、上传目的地，以判断这些行径是否符合企业缺省的警示范围。

此外，管理者亦可藉助「网页浏览分类与常用连接关联特徵」，据以快速掌握任何部门或个人，是否造访公司明令禁止的网站，又或者能透过对于各项执行绪的充分掌握，借此探查各部门或个人浏览行为的合理性。

值得一提的，X-FORT可透过记录进一步分析「人为上网与异常时段分析」，帮助管理者有效分析上班时间、非上班时间的上网行为；而精品科技蒐集半个月时间的记录，协助某机构从多达7.6万笔的人为上网行为记录中，找出4笔异常数据，发现有极少数员工曾在凌晨2~4点，试图透过公司电脑连结内部系统，但经查这些员工并未在相关时段于公司内部挑灯夜战，显示这些迹象大有玄机，值得管理者深入探究，检视到底是该同仁利用翻墙软件操作内部电脑？或者遭到黑客入侵？

除此之外，X-FORT还可多面向分析，例如「网页浏览行为分析」、「流量与风险程序分析」、「使用Google网页类型分析」、「上网关注面向分析」、「实时通讯风险分析」、「邮件寄送分析」、「FTP轨迹记录分析与追踪」、「电脑联网时段分析」(注：此处指非人为操作)、「打印行为分析与估算」、「档案写出网安风险分析」、「档案操作行为统计分析」、「写出档案与写出程序的数量与大小分析」、「档案操作分析」、「软件资产与软件风险分析」、「使用者软件操作分析」、「软件使用状态分析」等众多细腻的查找功能，帮助管理者快速抽丝剥茧，立即掌握部门或个人违规、异常事证；察觉某员工正密集写出档案，此时管理者便可旋即搭配写出档案大小、档名与写出类型等辅助信息，判断此举是否蕴藏高度网安风险。