精品科技化DLP記錄為UEBA 提升企業資安反應速度

精品科技資安顧問及資訊安全部經理陳伯榆。

在2015年9月，Gartner提出User and Entity Behavior Analytics(UEBA)，據此重新定義企業資訊安全，強調展望今後應以使用者核心，分析其與電腦、應用程式與網路等「實體」之間關聯性，以期精準而快速挖掘異常事件，並針對箇中威脅施以必要防護，不再一味沿襲過往費時建模與分析的低效模式。

精品科技資安顧問及資訊安全部經理陳伯榆強調，UEBA訴諸效率、準確與標靶等三大特色，一來較安全性資訊與事件管理(SIEM)系統或其他方案具備更佳效率，二來以極高準確率解決企業長久來資安問題，再者透過大規模行為數據分析，標靶出風險。

而精品科技所提供的X-FORT電子資料監控系統，歷經十餘年發展與精進，現已內含本機操作記錄、網路操作記錄、IM記錄、軟硬體資產、審核記錄、管理記錄，堪可因應UEBA提供重要分析數據，協助企業IT管理者洞燭機先，掌握當下任何員工的違規情事，從而立即採取因應對策，避免異常行徑釀成重大禍端。

陳伯榆重申，以資料外洩防護(DLP)而論，強項在於單項記錄分析與條列呈現，需融入資安風險的高感知能量，始可優化警示設定，至於SIEM系統則礙於收容過多瑣碎記憶體，導致分析效率不彰，顯見兩者皆無法「即時快速」呈現資安風險的標靶目標，尚需費人力整理分析；如此無異將導致企業資安人力成本層疊加上，著實不夠經濟。

意欲彌補上述缺陷，便須藉助新一代DLP系統與UEBA兩相結合，才能隨時勾稽出企業內部資安戰情、即時通訊行為分析、人的行為狀態分析、異常電腦網路寫出、雲端活動行為分析、異常的上網路活動...等完整拼圖，讓企業清楚看見風險，並適時展開應變處理。

從UEBA進化  建立企業新風險防禦機制

究竟X-FORT與UEBA的結合之下，能讓企業窺見哪些細微癥候？陳伯榆舉例指出，例如透過「使用者電腦使用分析」，管理者可輕易捕捉任何部門或個人超時使用電腦的記錄，進一步排除加班狀況，針對無故長時間使用電腦者，搭配其他分析項目，快速探索這些部門或個人是否從事高風險行為。

比方說，藉由「使用者雲端行為整合分析」、「使用者Web post行為分析」之交叉比對，探查前述異常的部門或個人，是否利用雲端或網路寫出檔案，進而勾稽寫出檔案的數量、檔名、連結的雲端服務，及Webpost累計數值、上傳目的地，以判斷這些行徑是否符合企業預設的警示範圍。

此外，管理者亦可藉助「網頁瀏覽分類與常用連接關聯特徵」，據以快速掌握任何部門或個人，是否造訪公司明令禁止的網站，又或者能透過對於各項執行緒的充分掌握，藉此探查各部門或個人瀏覽行為的合理性。

值得一提的，X-FORT可透過記錄進一步分析「人為上網與異常時段分析」，幫助管理者有效分析上班時間、非上班時間的上網行為；而精品科技蒐集半個月時間的記錄，協助某機構從多達7.6萬筆的人為上網行為記錄中，找出4筆異常資料，發現有極少數員工曾在凌晨2~4點，試圖透過公司電腦連結內部系統，但經查這些員工並未在相關時段於公司內部挑燈夜戰，顯示這些跡象大有玄機，值得管理者深入探究，檢視到底是該同仁利用翻牆軟體操作內部電腦？或者遭到駭客入侵？

除此之外，X-FORT還可多面向分析，例如「網頁瀏覽行為分析」、「流量與風險程序分析」、「使用Google網頁類型分析」、「上網關注面向分析」、「即時通訊風險分析」、「郵件寄送分析」、「FTP軌跡記錄分析與追蹤」、「電腦連網時段分析」(註：此處指非人為操作)、「列印行為分析與估算」、「檔案寫出資安風險分析」、「檔案操作行為統計分析」、「寫出檔案與寫出程式的數量與大小分析」、「檔案操作分析」、「軟體資產與軟體風險分析」、「使用者軟體操作分析」、「軟體使用狀態分析」等眾多細膩的查找功能，幫助管理者快速抽絲剝繭，立即掌握部門或個人違規、異常事證；察覺某員工正密集寫出檔案，此時管理者便可旋即搭配寫出檔案大小、檔名與寫出類型等輔助資訊，判斷此舉是否蘊藏高度資安風險。