國內近期幾起重大資安案件,經調查皆與一般/特權/外部維護等使用者帳號所造成的內部威脅有關,但往往卻因無法迅速有效地訂定調查方向或還原案件軌跡 (有效數位證據),更常因證據能力不足或證據不完備而被駁回或不予起訴,造成受害單位承受龐大的實質壓力與形象損失卻無從求償。有鑑於此,日前一場由台灣數位鑑識發展協會 (ACFD) 與漢領國際有限公司共同主辦,行政院資訊安全處指導,金管會資訊服務處、法務部調查局資通安全處、中國民國軟體協會協辦的「內部威脅管理與數位證據完備論壇」,吸引了來自政府、金融及各界近140位代表熱烈與會,顯示「內部威脅管理」以及「數位鑑識舉證」已成為台灣各界格外重視的議題與焦點。

 

士林地檢署 邱獻民檢察事務官組長表示,許多國內企業因不具備充足法律與數位舉證常識,每當資安案件發生時,所提出的事後數位舉證往往無法還原事實的真象,因而不具完備的證據能力,導致被告不予起訴。由於數位證據必須通過「同一性」、「真正性」、「關聯性」等三項檢驗才具備「證據能力」,同時須依據刑事訴訟法第165-1條規定,在法庭上能夠進行清楚有效的呈現還原人事時地物,方符合經合法調查之嚴格證明程序與證據調查的要求。因為視覺化數位證據若能精準地還原資安案件軌跡的人事時地物,且符合嚴格證明之資料的形式資格,可具備證據能力,同時,若視覺化軌跡回播可證明具備不可竄改性,對於在認定事實的過程中能發揮作用之實質的價值評價,有效地增加證明力 (證據價值),相對的有助於加速資安案件偵查與破案的時程與可能性。

 

由漢領國際所代理的ObserveIT視覺化內部威脅偵測使用行為分析解決方案具備事前事中對內部威脅與使用者行為風險偵測分析的能力,與事後不可竄改並還原的視覺化軌跡能力,讓企業組織能在資安案件發生前有效導正告警使用者行為,並提供完整視覺化的偵測、中斷/阻絕、分析與調查機制,落實資安防護政策與管理;一旦資安案件發生時,藉由視覺化軌跡收集確鑿的鑑識證據,確保數位證據的完備性,防止證據遭到滅失或竄改。

 

ObserveIT v6.7版推出全新風險分析儀表板,可針對整體內部威脅趨勢進行分析比較,並可對個別使用者的風險行為分析呈現曲線變化,讓管理者迅速即時偵測分析風險來源與類型,掌握第一時間進行判斷與回應。內建超過180個隨選即用暨7種群組化警示規則 (Insider Threat Library; ITL),快速針對特定使用者群組進行同步設定,更可依內部資安規範自行定義警示規則與群組,如:特權帳號、第三方廠商、一般使用者及離職員工等,進行統一套用相同風險規則及分類。此外,v6.7版本還整合了惡意網站威脅資料庫,內建超過280億個分類網站URLs並隨時更新,有效偵測並告警、中斷使用者存取惡意或釣魚網站之行為。

 

茲就幾起資安案件作為範例,說明ObserveIT可如何做到有效內部威脅管理,以及完備的數位鑑識舉證,真正達成視覺化「事前偵測阻絕」、「事中蒐證回應」與「事後鑑識舉證」的資安管理目標:

【事件一】員工電腦遭植入異常程式或執行序

案件情節 員工不小心點選/開啟攻擊郵件(或有意人士利用職務之便暗中植入惡意程式),導致其電腦遭植入惡意程式。
問題可能性分析
  • 於無警覺情形下點選郵件附件,導致電腦被植入後門、勒索軟體或遭受APT攻擊等。
  • 未經授權安裝了異常應用程式。
解決方案
  • 以預設告警規則,針對所設定之非白/黑名單應用程式與執行序之執行,進行告警並以Email通知管理者。
  • ObserveIT可針對【異常程式或執行序】告警訊息顯示威脅指數與排名,方便管理者監控風險趨勢變化與需要即時回應的告警。
  • 視覺化回播提供鉅細靡遺行為軌跡,方便迅速從日常操作行為中辨別意圖,迅速還原行為發生點,減少調查時間與人力。
  • 視覺化數位證據不可被竄改,確保鑑識證據的完備性。

 

【事件二】異常登入時間與異常頻繁閱讀機密資料

案件情節 某企業從資安監控系統發現某一製造工程師異常頻繁閱讀公司機密資料,但因無確切證據,故無從決定是否該報案或採取行動。
問題可能性分析
  • 於非正常上班時間登入PC或系統敝人耳目。
  • 藉由授權帳號或竊取他人帳號異常瀏覽企業內部機密網站或資料。
  • 無法單純由log數據證明其意圖。
解決方案
  • 以預設告警規則,針對使用者於非正常時段登入、瀏覽內部機密網站URL或開啟機敏資料之行為,進行告警並以Email通知管理者。
  • 自動產生登入/出相關資訊的日報表,可與視覺化數位證據共同作為完備鑑識證據。
  • ObserveIT可針對【異常登入時間】、【異常URL瀏覽】、【機敏文件瀏覽】等告警訊息顯示威脅指數與排名,方便管理者監控風險趨勢變化與需要即時回應的告警。
  • 視覺化回播提供鉅細靡遺之行為軌跡,方便迅速從日常操作行為中辨別意圖,迅速還原行為發生點,減少調查時間與人力。
  • 視覺化數位證據不可被竄改,確保鑑識證據的完備性。

 

【事件三】未經授權下載營業秘密文件並Email給競業對象

案件情節 商業間諜受利誘,以授權使用者身份閱讀機密資料,並將半導體製程等相關機密文件,未經授權下載至USB並Email寄給特定對象。
問題可能性分析
  • 未經授權使用USB儲存裝置、雲端硬碟,無偵測或告警機制。
  • 蓄意將資料寄送到外部信箱或競業對象,無從即時偵測與辨別收件人之風險性。
解決方案
  • ObserveIT針對非白名單或黑名單之應用程式與執行序時,將進行告警並以Email通知管理者。同時將該告警訊息反應於「風險分析儀表板」中的威脅指數,方便管理者監控風險趨勢變化。視覺化回播提供鉅細靡遺之行為軌跡,方便迅速從日常操作行為中辨別意圖,迅速還原行為發生點,能大幅減少調查時間與人力。
  • ObserveIT可針對【USB偵測】、【異常程式或執行序】、【競業郵件信箱】等告警訊息顯示威脅指數與排名,方便管理者監控風險趨勢變化與需要即時回應的告警。
  • 視覺化回播提供鉅細靡遺之行為軌跡,方便迅速從日常操作行為中辨別意圖,迅速還原行為發生點,大幅減少調查時間與人力。
  • 視覺化數位證據不可被竄改,確保鑑識證據的完備性。

 

了解更多ObserveIT 產品訊息:按此連結

 

最新消息

業務洽詢

  • 漢領國際贊助並參與2016年11月18日假大同大學舉行之「2016 Cyberspace聯合研討會」,歡迎參加,按此連結
  • ACFD與漢領國際「內部威脅管理暨數位舉證完備論壇」會後報導,按此連結
  • ObserveIT v6.7版協助企業快速導入內部威脅管理解決方案,按此連結
  • ObserveIT使用者大會圓滿落幕,按此連結
  • ObserveIT與Ponemon共同研究報告指出:主要的資安風險來自日常使用的應用程式,按此連結
  • 我對漢領國際產品解決方案有興趣,請與我聯繫...線上申請
  • 我想要申請產品測試...線上申請
本資安快訊為漢領國際所發行,其內容均由漢領國際或其他權利人依法擁有各項智慧財產權及資料所有權。未事先取得漢領國際上述各權利之書面授權而逕自以任何形式使用之情事,漢領國際將訴追其法律責任。Copyright © 2016 JSLead Co., Ltd. 漢領國際有限公司. All rights reserved.