精品科技化DLP记录为UEBA 提升企业网安反应速度 智能应用 影音
MongoDB
ADI

精品科技化DLP记录为UEBA 提升企业网安反应速度

  • DIGITIMES企划

精品科技网安顾问及信息安全部经理陈伯榆。
精品科技网安顾问及信息安全部经理陈伯榆。

在2015年9月,Gartner提出User and Entity Behavior Analytics(UEBA),据此重新定义企业信息安全,强调展望今后应以使用者核心,分析其与电脑、应用程序与网络等「实体」之间关联性,以期精准而快速挖掘异常事件,并针对个中威胁施以必要防护,不再一味沿袭过往费时建模与分析的低效模式。

精品科技网安顾问及信息安全部经理陈伯榆强调,UEBA诉诸效率、准确与标靶等三大特色,一来较安全性信息与事件管理(SIEM)系统或其他方案具备更佳效率,二来以极高准确率解决企业长久来网安问题,再者透过大规模行为数据分析,标靶出风险。

而精品科技所提供的X-FORT电子数据监控系统,历经十余年发展与精进,现已内含本机操作记录、网络操作记录、IM记录、软硬件资产、审核记录、管理记录,堪可因应UEBA提供重要分析数据,协助企业IT管理者洞烛机先,掌握当下任何员工的违规情事,从而立即采取因应对策,避免异常行径酿成重大祸端。

陈伯榆重申,以数据外泄防护(DLP)而论,强项在于单项记录分析与条列呈现,需融入网安风险的高感知能量,始可优化警示设定,至于SIEM系统则碍于收容过多琐碎存储器,导致分析效率不彰,显见两者皆无法「实时快速」呈现网安风险的标靶目标,尚需费人力整理分析;如此无异将导致企业网安人力成本层叠加上,着实不够经济。

意欲弥补上述缺陷,便须藉助新一代DLP系统与UEBA两相结合,才能随时勾稽出企业内部网安战情、实时通讯行为分析、人的行为状态分析、异常电脑网络写出、云端活动行为分析、异常的上网络活动...等完整拼图,让企业清楚看见风险,并适时展开应变处理。

从UEBA进化  建立企业新风险防御机制

究竟X-FORT与UEBA的结合之下,能让企业窥见哪些细微症候?陈伯榆举例指出,例如透过「使用者电脑使用分析」,管理者可轻易捕捉任何部门或个人超时使用电脑的记录,进一步排除加班状况,针对无故长时间使用电脑者,搭配其他分析项目,快速探索这些部门或个人是否从事高风险行为。

比方说,藉由「使用者云端行为整合分析」、「使用者Web post行为分析」之交叉比对,探查前述异常的部门或个人,是否利用云端或网络写出档案,进而勾稽写出档案的数量、档名、连结的云端服务,及Webpost累计数值、上传目的地,以判断这些行径是否符合企业缺省的警示范围。

此外,管理者亦可藉助「网页浏览分类与常用连接关联特徵」,据以快速掌握任何部门或个人,是否造访公司明令禁止的网站,又或者能透过对于各项执行绪的充分掌握,借此探查各部门或个人浏览行为的合理性。

值得一提的,X-FORT可透过记录进一步分析「人为上网与异常时段分析」,帮助管理者有效分析上班时间、非上班时间的上网行为;而精品科技蒐集半个月时间的记录,协助某机构从多达7.6万笔的人为上网行为记录中,找出4笔异常数据,发现有极少数员工曾在凌晨2~4点,试图透过公司电脑连结内部系统,但经查这些员工并未在相关时段于公司内部挑灯夜战,显示这些迹象大有玄机,值得管理者深入探究,检视到底是该同仁利用翻墙软件操作内部电脑?或者遭到黑客入侵?

除此之外,X-FORT还可多面向分析,例如「网页浏览行为分析」、「流量与风险程序分析」、「使用Google网页类型分析」、「上网关注面向分析」、「实时通讯风险分析」、「邮件寄送分析」、「FTP轨迹记录分析与追踪」、「电脑联网时段分析」(注:此处指非人为操作)、「打印行为分析与估算」、「档案写出网安风险分析」、「档案操作行为统计分析」、「写出档案与写出程序的数量与大小分析」、「档案操作分析」、「软件资产与软件风险分析」、「使用者软件操作分析」、「软件使用状态分析」等众多细腻的查找功能,帮助管理者快速抽丝剥茧,立即掌握部门或个人违规、异常事证;察觉某员工正密集写出档案,此时管理者便可旋即搭配写出档案大小、档名与写出类型等辅助信息,判断此举是否蕴藏高度网安风险。