國內近期幾起重大資安案件,經調查皆與一般/特權/外部維護等使用者帳號所造成的內部威脅有關,但往往卻因無法迅速有效地訂定調查方向或還原案件軌跡 (有效數位證據),更常因證據能力不足或證據不完備而被駁回或不予起訴,造成受害單位承受龐大的實質壓力與形象損失卻無從求償。有鑑於此,日前一場由台灣數位鑑識發展協會 (ACFD) 與漢領國際有限公司共同主辦,行政院資訊安全處指導,金管會資訊服務處、法務部調查局資通安全處、中國民國軟體協會協辦的「內部威脅管理與數位證據完備論壇」,吸引了來自政府、金融及各界近140位代表熱烈與會,顯示「內部威脅管理」以及「數位鑑識舉證」已成為台灣各界格外重視的議題與焦點。 士林地檢署 邱獻民檢察事務官組長表示,許多國內企業因不具備充足法律與數位舉證常識,每當資安案件發生時,所提出的事後數位舉證往往無法還原事實的真象,因而不具完備的證據能力,導致被告不予起訴。由於數位證據必須通過「同一性」、「真正性」、「關聯性」等三項檢驗才具備「證據能力」,同時須依據刑事訴訟法第165-1條規定,在法庭上能夠進行清楚有效的呈現還原人事時地物,方符合經合法調查之嚴格證明程序與證據調查的要求。因為視覺化數位證據若能精準地還原資安案件軌跡的人事時地物,且符合嚴格證明之資料的形式資格,可具備證據能力,同時,若視覺化軌跡回播可證明具備不可竄改性,對於在認定事實的過程中能發揮作用之實質的價值評價,有效地增加證明力 (證據價值),相對的有助於加速資安案件偵查與破案的時程與可能性。 由漢領國際所代理的ObserveIT視覺化內部威脅偵測使用行為分析解決方案具備事前事中對內部威脅與使用者行為風險偵測分析的能力,與事後不可竄改並還原的視覺化軌跡能力,讓企業組織能在資安案件發生前有效導正告警使用者行為,並提供完整視覺化的偵測、中斷/阻絕、分析與調查機制,落實資安防護政策與管理;一旦資安案件發生時,藉由視覺化軌跡收集確鑿的鑑識證據,確保數位證據的完備性,防止證據遭到滅失或竄改。 ObserveIT v6.7版推出全新風險分析儀表板,可針對整體內部威脅趨勢進行分析比較,並可對個別使用者的風險行為分析呈現曲線變化,讓管理者迅速即時偵測分析風險來源與類型,掌握第一時間進行判斷與回應。內建超過180個隨選即用暨7種群組化警示規則 (Insider Threat Library; ITL),快速針對特定使用者群組進行同步設定,更可依內部資安規範自行定義警示規則與群組,如:特權帳號、第三方廠商、一般使用者及離職員工等,進行統一套用相同風險規則及分類。此外,v6.7版本還整合了惡意網站威脅資料庫,內建超過280億個分類網站URLs並隨時更新,有效偵測並告警、中斷使用者存取惡意或釣魚網站之行為。 茲就幾起資安案件作為範例,說明ObserveIT可如何做到有效內部威脅管理,以及完備的數位鑑識舉證,真正達成視覺化「事前偵測阻絕」、「事中蒐證回應」與「事後鑑識舉證」的資安管理目標:
了解更多ObserveIT 產品訊息:按此連結
|
|||||||||||||||||||||||||||||
-
你目前位置:
- 首頁
- 最新消息
- 資安快訊|Newsflash
- 【2016年,第6期】建構完備的數位證據取得鑑識機制,有效降低由內部威脅所引發的資安案件
Write comment