ObserveIT
產品介紹
近年來,愈來愈多國際資安事件證實皆與內部威脅有關,顯示內部威脅管理已刻不容緩。Gather Research副總經理Anton Chuvakin表示:「內部威脅可分為三種型式,分別是惡意的 (Malicious)、善意的 (Well Meaning),以及被滲透的 (Comprised) 內部威脅,研究顯示,超過51%的內部威脅皆來自於惡意的,同時有超過50%的企業組織表示曾遭受到內部威脅的影響」。為了有效地扼止並減少內部威脅的發生,企業組織必須要有能力對端點的使用者行為加以監控與管理。Gartner在使用者與企業單位行為分析市場指南 (User and Entity Behavior Analytics; UEBA) 中強調:「由於惡意行為難以辨識與評估,此領域中之領導廠商在端點安裝Agent,針對使用者無任何日誌記錄的前後關係行為與資訊進行分析」,從正常的行為活動中區分出濫用或惡意行為,確定使用者意圖、收集確鑿的鑑識證據,甚至阻止或封鎖違規行為。

 

Verizon 2015資料外洩調查報告也顯示,90%的資安事件皆源自於授權使用者,分析這些由授權使用者所引發的資安事件,其中高達71%是因授權使用者「無心之過」或「濫用」行為所導致;真正由「別有用心」或「蓄意」授權使用者所導致的僅佔29%。另一項調查報告 - CERT Insider Threat Report也顯示,75%的內部威脅是無法預警的,而且一旦造成資安事件,所造成的財損與破壞程度是外部威脅的2倍。

 

為了進一步了解使用者授權存取與操作行為對企業營運與資安的關聯性,ObserveIT與國際知名的隱私暨資訊管理研究機構Ponemon Institute針對610位美國的IT與資安專業人員進行調查,並在近期共同發表了一份「What You Don’t Know will Hurt You: A Study of the Risk from Application Access and Usage」調查研究報告,該報告明確指出,日常工作中應用程式的使用,及使用者不經意的操作行為,已成為全球資安團隊嚴苛的資安潛在風險與挑戰。
  • 超過70%受訪者表示,經由稽核與正式風險評估揭露對於應用程式的存取與使用缺乏監控機制。
  • 71%內部資安違規事件源自於應用程式的使用者,而由特權帳號使用者引發之資安事件僅佔18%。
  • 僅有8%受訪者表示,其所屬的企業組織已導入稽核與監控應用程式存取及使用的解決方案。
  • 45%受訪者對於其所屬單位目前擁有的監控能力,均表示無法偵測到具風險性的使用者行為,並給予極低的評價。

 

另一項針對美國200多位決策者以及1,000多位全職員工有關內部威脅與資料洩露所做的Clearswift Insider Threat Index (CITI)報告結果顯示,49%內部威脅與使用者使用可攜式儲存裝置/USB有關、47%的威脅來自於使用者未遵守企業內部對資料以及智慧財產保護所制定的資安政策,令人意外的是有31%員工表示他們會分享或共用個人的帳號與密碼。針對如何降低企業資安內部威脅,高達72%受訪者一致認為必須針對端點加強監控與偵測,同時透過「教育與宣導」,讓員工能充份了解企業內部的資安政策,以及對關鍵與機密資料保護的重要性。

內部威脅管理蔚為全球資安新顯學

近年來,眾多國內外資安事件經證實皆與內部威脅有關,國際知名研究調查機構如:Gartner、Verizon、Ponemon、CERT等,紛紛發表內部威脅相關報告與資安事件統計數據,綜觀結果,90%資安事件皆源自於授權使用者,其中高達71%事件為授權使用者之「無心之過」或「濫用」行為所導致,而真正「別有用心」或「蓄意」授權使用者所導致的事件僅佔29%;亦有報告強調,75%的內部威脅是無法預警的,一旦造成資安事件,形成的財損與破壞程度是外部威脅的2倍。因此,內部威脅管理已成為Cyber Security防護作戰刻不容緩的焦點。

 

建構以「人」、「資料」、「流程」為核心的內部威脅暨端點防護之資安架構

以往企業組織資安策略多著重架構、網路的安全性,不論如何堅實的環境,終須授權一般營運、特權帳號及第三方維護廠商等使用者進行應用程式、資料與系統之存取。這些使用者正是接觸外部資安風險的主要媒介,甚至是被蓄意攻擊的目標,因此在駭風盛行且資料外洩事件頻傳的今日,Gartner建議採取以人、資料及流程為核心焦點的「內部威脅暨端點防護資安」策略。企業組織應對於具備權限之各類使用行為進行偵測分析,藉由端點操作行為的實際畫面記錄及詳盡的Log輔助,協助管理者提前洞悉與阻絕各違規行為與內部威脅,並即時回應與控管風險。

Gartner UEBA指南評定ObserveIT為「具代表性廠商」

ObserveIT 於 Gartner「2015年使用者與企業單位行為分析市場指南 (User and Entity Behavior Analytics; UEBA)」中被評定為「具代表性廠商」。Gartner UEBA報告指出,2015年中,終端使用者組織對於「使用者行為分析」的需求成長了近10倍,其中針對「資安分析」的需求占25%。此外,Gartner亦預估2017年UEBA全年市場營收與市場規模將成長4倍。UEBA強調,內部威脅已被定位為5大資安專業領域與常見案例,每3個資安事件,就有2個是源自於內部使用者。

 

ObserveIT:使用行為改變 = 內部威脅風險/2

為有效防範來自企業內外部的威脅,企業組織資安思維需有具體的變革。ObserveIT以「人」作為一切資安控管的出發點,是現今市場中最受青睞的內部威脅管理解決方案,ObserveIT主動偵測內部潛在之異常使用者風險活動,對於違規使用行為,例如:異常時段登入、異常程式安裝/使用、異常執行序、USB儲存裝置檔案複製、雲端上傳、惡意網站瀏覽等等,提供重申及落實內部資安政策的機制,並即時告警、阻絕/中斷及加密還原視覺化軌跡,以利辨識蓄意或濫用行為並迅速回應,落實使用者行為導正與資料外洩防護,達到視覺化「事前偵測阻絕」、「事中蒐證回應」與「事後稽核舉證」資安管理目標。

 

資安管理目標

 

Educate教育

  • 即時訊息對使用者進行資安政策宣導與教育。
  • 經證實可有效降低50%資安事件之發生。

 

Deter阻絕

  • 提醒違反內部資安政策之使用者行為,將被側錄予以稽核。
  • 針對違規行為阻絕或中斷。
  • 經證實可有效減少80%以上的惡意行為。

 

Detect偵測

  • 洞悉違反內部資安政策使用者行為,並進行風險排名。
  • 告警不預設基準點,可依內規自行定義。
  • 內建一百多種國內外常見之預設告警規則及套裝分析功能。

 

Investigate調查

  • 即時從使用行為中過濾辨識惡意行為與意圖。
  • 精確回播事件發生點及快速搜尋元資料。
  • 洞悉使用者行為並進行視覺化軌跡蒐證,具不可竄改之證據能力。
  1. 風險儀表板可讓管理者監控整體風險及掌握威脅軌跡,明確顯示各類使用者、各部門單位、各類觸警風險行為累計/新增指數與趨勢,並可自訂或套用內建200種以上告警規則/24種以上分類,以及進行指數重置等。
  2. 資料遺失外洩偵測功能,當USB儲存設備連接時,可立即偵測及告警。當系統偵測到以快捷鍵複製或拖拉複製檔案至雲端儲存空間等時,亦將主動告警並側錄檔案名稱。
  3. 可針對列印工作加以監控、偵測與記錄本機/網路印表機的列印工作細節,顯示使用者、主機名稱、印表機名稱/品牌、列印檔案名稱、列印頁數與大量列印等資訊。
  4. 具備URL安全過濾機制,超過數十種內建分類及數百億筆以上的 Indexed URLs,DB可每日更新,並針對釣魚、高危險、不被授權網站等之瀏覽行為進行偵測、告警或中斷。
  5. 可設定「匿名模式」,將風險儀表板及Web Console所顯示的使用者資訊加以匿名,確保使用者隱私與個資之保護。
  6. 針對Windows環境之告警行為可進行強制中斷,並要求輸入原因後方得繼續進行操作;針對Linux/Unix環境可阻絕未經授權指令或蛙跳行為,並告知使用者其行為已違反公司資安政策。
  7. 可偵測與側錄Linux/Unix使用者執行之命令與輸入指令後的Output字串,包括Script中內含之指令與系統命令產生的底層指令,及所有終端螢幕之輸出畫面。
  8. 當使用者任意更改檔名、更改目錄名、刪除檔案、終止Agent運作、終止Service或變更Registry時,Agent會針對變更主動發送Email警示通知郵件予管理者,包含事件之超連結,可直接連線登入ObserveIT主控台回播對應事件記錄。
  9. 所有側錄資料皆具備AES加密保護與浮水印,並具備雙重密碼保護亦可整合數位簽章,並須依管理權限以ObserveIT播放器進行回播,確保資料無法竄改同時提升證據能力。
  10. Agent符合FIPS國際標準。具備離線側錄功能,網路斷線時 Agent 仍持續側錄,待恢復連線後自動回傳檔案至資料庫。
  11. 支援Windows、Linux、Unix/HP-UX、Solaris等,v6.7版本推出Mac作業平台之本機操作側錄,並可增設Windows/Linux管理者身份或共用帳號之第二道認證,及Windows身份盜竊偵測與警示功能。
  12. 支援VMware View、Citrix XenApp/XenDesktop、Ericom、Windows Remote Desktop、TeamViewer、PCanywhere、VNC、Telnet、SSH、Netop、Dameware、Putty、FTP/SFTP等遠端連線操作側錄。
  13. 可將收集之資訊自動匯出成CSV或CEF檔案與LogRhythm、Splunk、IBM PIM/Security QRadar、HP Arcsight、RSA enVision、Citrix、Lieberman、Tibco、Servicenow或Microsoft SCOM整合,亦提供Webservice整合Ticketing系統,如:OITicket特權帳號流程系統,以進行工單申請、核准及權限開通與視覺化覆核,落實申請核准記錄、軌跡資料、存取證據、監控記錄之保存。
v7.0

強制中斷並登出

  • 藉由偵測未授權使用行為並強制登出以提昇資安等級,強化Windows 環境中存取使用機敏資料、應用程式與各類系統的控管流程。
  • 嚴格落實內部資安政策宣導、警示與執行。
  • 有效對資產或智慧財產進行保護,並防止潛在的商業損失。
強制中斷並登出

強制關閉未經授權使用之應用程式

強制關閉未經授權使用之應用程式

使用者行為歷程分析

  • 透過深度的使用者日常操作行為與歷程分析,以全面掌握與辨識內部威脅,並大幅縮短調查時間。
  • 即時識別高危險使用者的活動與意圖,如:異常使用應用程式/網站/Unix指令,或在不常使用的電腦上執行程式。
  • 增加對使用者生產力的可視性,了解異常與慣性行為、應用程式所花費時間、工作日/工時及閒置時間等。

使用者行為歷程分析
使用行為歷程分析

優化Web Console管理介面

  • 嶄新的Web管理介面與儀表板,高解析度呈現更多細節資料。

優化Web Console管理介面

優化Web Console管理介面

Key-Logging告警

  • l針對使用電子郵件、聊天應用程式、社交媒體網站過程,設定需要保護的關鍵字,以即時偵測阻絕潛在的資料外洩可能性。
  • 辨識於CLI工具中所執行的指令,如:Windows CMD、PowerShell、PuTTY、Mac終端機。
  • 偵測同仁於工作場所使用不當暴力言語、或與客戶溝通時不當的表達。

Key-Logging告警

Insider Threat Library 規則更新管理

  • 無需軟體升級即可自動更新,保持最新的威脅資訊來源。
  • 不影響客戶原有規則或列表設計。

Key-Logging告警

v6.7

優化警示機制 – 精準發出警告、降低假警報

  • 超過180個隨選即用的預設警示規則 (Insider Threat Library; ITL)。
  • 警示規則可針對不同族群如:特權帳號、日常使用者、第三方廠商、及離職員工等進行設定。
  • 可針對特定使用群組設定統一的風險指數。

精準發出警告、降低假警報

 

優化警示機制 – 24種內建警示規則群組

以群組分類原則、將相同屬性之警示規則進行群組、方便進行設定。

資料外洩 (12) 建立後門 (7) 安裝及移除可疑軟體 (17)
滲透行為 (4) 績效違規事項 (12) 預備攻擊 (8)
隱藏資訊及覆蓋軌跡 (15) 主機上未經授權存取行為 (4) SHELL攻擊 (3)
未經授權登入存取 (12) 執行惡意程式 (7) 未經授權開啟SHELL (3)
未經授權資料存取 (3) 執行未經授權之管理者行為 (12) 系統破壞 (3)
安全性控管設定異動 (9) 版權侵權 (3) 特權提升行為 (4)
違規不當行為 (8) 肆意或蓄意資料搜尋 (12) 身份盜竊 (2)
濫用行為 (6) 執行未經授權之通訊工具 (3) 系統竄改 (2)

 

更有效的警示規則管理

  • 警示規則加以群組化、方便快速設定與取消。
  • 可建立使用者清單及關鍵/敏感字元清單對應不同警示規則。
  • 更容易針對不同但風險程度相同的使用者設定警示規則。
  • 可針對大量警示規則的改變 (如:啟用或刪除) 進行同步執行。

更有效的警示規則管理

 

更有效的警示規則管理 – 名單

  • 使用者名單:可用於警示規則定義或分配的用戶和/或Active Directory群組中的列表、如:部門、日常用戶、特權用戶、遠端連線維護廠商、準備離職員工等。
  • 一般名單:可用於警示規則定義的關鍵字列表、如:敏感資料/檔案/內部EIP名稱、 VIP客戶、機敏應用程序、機敏關鍵字/主機名稱、網路位置等。

更有效的警示規則管理名單

 

增加使用者活動與風險的可視性 – 網路分類

  • 整合第三方惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個URLs) :
    • 非系統管理員的日常使用者 (非系統管理員) 瀏覽討論網路監聽或駭客技術的網站。
    • 使用者存取雲端磁碟空間。
    • 當使用者存取惡意或釣魚網站時,即時顯示中斷訊息。
    • 將伺服器用在與工作無關之事務,如:P2P服務、社交媒體、收看線上視訊…等。
    • 在Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
    • 使用者將時間花費在遊戲、賭博、運動或新聞網站。
  • 內建網站分類包含以下:Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。

 

增加使用者活動與風險的可視性 – 列印監控

新增對列印工作的監控、可以偵測到任何來自本機或網路印表機的列印工作:

  • 列印檔案之使用者/電腦的相關資料。
  • 列印中的文件名稱。
  • 印表機名稱與製造商資訊。
  • 列印文件的張數。
  • 大檔案列印 (>10頁資料)

增加使用者活動與風險的可視性列印監控

 

增加使用者活動與風險的可視性 – 新儀表板視圖

風險儀表板上新圖表的呈現、讓管理者能在一定的時間內更清楚地瞭解使用者風險以及行為的發展趨勢。

增加使用者活動與風險的可視性新儀表板視圖

 

使用者匿名保護

  • 在匿名模式下、所有使用者資訊將不會顯示在風險偵測儀表板及Web Console中、保護使用者隱私。
  • 在匿名模式下、可針對特定使用者或使用族群取消匿名模式。
  • 可與HR名單 (如:已離職員工) 進行整合以進行個別管理與監控。

個別管理與監控

若需針對特別對象進行調查、需提出申請並由管理者同意後始可進行非匿名化。

非匿名化

 

支援更多作業平台

  1. 新增Mac Agent
  2. 支援Windows 10 (含Edge瀏覽器)
  3. 支援Ubuntu 16.04
  4. 支援RHEL 7.2

支援更多作業平台

 

ObserveIT v6.7版新功能介紹影片

  1. 優化警示機制
  2. 增加對使用者活動與風險的可視性 – 網路分類
  3. 增加對使用者活動與風險的可視性 – 列印監控
  4. 24種內建警示規則群組
  5. 使用者匿名保護

v6.5

追蹤使用者行為

協助管理者透過新使用者行為分析工具,快速掌握風險:

  • 總違規數:總計所有反公司政策之行為、警示通知、中斷訊息及拒絕存取等所有事件之數量。
  • 過去7日趨勢:比對本週與前一週所有警示通知訊息之趨勢走向。
  • 自昨天以來的新警告:顯示自昨天以來所有發生警告通知的總數。

追蹤使用者行為

 

落實資安政策 – 柔性宣導

以即時訊息告知同仁其操作行為已違反公司資安政策,藉以進行機會教育。

落實資安政策柔性宣導

 

落實資安政策 – 強制中斷

即時跳出中斷操作之畫面視窗,告知同仁其操作行為已違反公司資安政策,並要求輸入原因後方得繼續進行。

落實資安政策強制中斷

 

落實資安政策 – 強制阻絕惡意行為與未經授權活動

  • 針對Unix/Linux環境,可直接強制中止並阻絕惡意行為或未經授權的活動,讓使用者無法繼續執行違反公司政策作業。
  • 可針對使用者ID、指令名稱 (如:su、sudo、rm) 、電腦名稱、IP位址、作業系統…等設定強制中斷規則。

強制阻絕惡意行為與未經授權活動

 

偵測式或動態式畫面側錄技術

可選擇性設定僅蒐集使用者行為之Metadata,一旦使用者觸發告警時,ObserveIT立即開始側錄違規行為過程。ObserveIT之側錄畫面與Metadata整合,可快速搜索特定行為,同時重建事件發生前、中、後的關聯性。

偵測式或動態式畫面側錄技術

v6.3

USB設備連接偵測

可自行設定於偵測到USB設備連接時,在側錄畫面顯示〝USBCONNECT〞文字。

USB設備連接偵測
USB設備連接偵測

資料遺失或外洩偵測

偵測在Agent主機快捷鍵或拖拉複製之檔案大小或檔案數量大於設定值時,都會顯示”LARGEFILECOPY”文字。

資料遺失或外洩偵測
資料遺失或外洩偵測


新搜尋介面 - 提供更快速更精準搜尋機制

大幅提升搜尋效能,提供更細膩分類式搜尋範圍與條件。

提供更快速更精準搜尋機制


主控台「僅設定與管理」角色

主控台新增一個「僅設定與管理」角色,該角色使用者登入ObserveIT主控台後,僅能使用「設定」頁籤下之功能。

設定與管理角色