使用者行为视觉化 有效发掘网安风险 智能应用 影音
Microchip
ADI

使用者行为视觉化 有效发掘网安风险

  • DIGITIMES企划

精品科技网安顾问兼网安部经理陈柏榆。
精品科技网安顾问兼网安部经理陈柏榆。

根据世界经济论坛2016风险报告书,数据窃取与造假及网络攻击,将是未来10年特别需要注意的风险,精品科技网安顾问兼网安部经理陈伯榆指出,企业应该强化网安数据监识,建立企业新风险防御机制。

陈伯榆认为,网安应该要将「实体」做为分析中重要的一环,进化到User and Entity Behavior Analytics(UEBA),掌握使用者与其接触的实体(Entity)之间的关联,注意Endpoint、Network及Application三者之间形成的紧密关系,不能只是记录单一行为或面向,而是要做大规模的数据分析,了解之间的关联,以求能够更精确找到异常事件。

陈伯榆指出,企业的每个人都会因为性别、职务、部门,而有其角色应有的行为,所有的行为其实都会有迹可循,网安思维应该要以「人」为核心,再从多重事实来判断,设法做到行为预测及现况行为分析。

陈伯榆指出过去的网安风险警示与管控模式,多半都是从用Log、Events及Alerts的角度出发,但这样还不够,因为很多行为其实都不是员工自愿的,因此除了大数据分析,网安机制也要能透过机器学习,做更详实的行为分析,才能做到预测及管控。

如员工违反公司政策连结使用赌博网站时,有时是因为使用者连结的页面触发应用程序所造成,必须要分析许多项目,包括屏幕撷取记录、触发时间是否合理、停留时间长短、相关管控参数状态、启用那些相关应用程序、网页内容记录等,将所有因素同时考量,才能确立使用行为是否为真。

陈伯榆指出UEBA可分析的数据,以X-FORT电子数据监控系统为例,包括6个部分,分别为:网络操作纪录、本机系统纪录、软硬件资产、审核纪录、管理纪录、移动设备纪录、本机操作纪录等,再结合新一代的DLP纪录与SIEM分析,才能做到精准风险处理与改变,达到实时快速及降低成本的两大目标。

如实时事件警示信息也许会有很多件,但异常电脑可能就没那麽多台,透过企业UEBA网安战情室,不但可以掌握电脑异常情形,还能够掌握档案写出状况的初步结果。亦可以针对使用者电脑操作活动进行整体分析,只要能掌握员工实际使用电脑时间及各种软件的使用时间,就可以了解员工工作有无效率。

而在使用者软件操作分析方面,由于前景及背景的执行档差别很大,加上不同的角色会使用不同的工具,产生不同的行为,只要跟时间做比对,就可以看到有无异常行为。而在档案写出网安风险分析方面,任何数量上的异常,包括档案大小及档名,配合写出日期的比较,就可以往下分析。

陈伯榆指出,虽然网络封包可以加密,无法看到内容,但只要用上网行为分析,就可以兼顾隐私及安全。如有些微量的行为小到不易察觉,要跟程序交叉分析,才有办法发现异常,而流量特别大也不代表违法或工作不认真,但如果能知道当下有哪些程序被执行,才能透过风险等级,进行信息安全治理。

陈伯榆强调,网安还应该进一步扩大到人与实体装置的移动风险,如有人可能会直接把硬盘拔掉,但以X-FORT的BitLocker硬盘防护为例,可以做到统一管控金钥、避免使用者私自变更金钥、防护硬盘失窃外泄,确保维护作业安全。

关键字