著名的研調機構 PONEMON 素以研究內部威脅而著稱,2020 第一季所發表最新研究調查報告指出,相較於前一年,2019 年全球內部威脅事故成長率高達 47%,所造成的資安事故損失成本,每起事故約 1,145 萬美元,上升了 31%,事故的平均處理時間為 77 天。調查中有 60% 的企業每月約發生 2 起資安事故,再細部分析資安事故損失成本,則以事故調查費用成長率最明顯,成長率高達 86%。調查結果顯示,事故處理時間愈長,所造成的損失愈高,當處理時間拉長到 90 天時,平均損失金額增加至 1,371 萬美元。
「人」是內部威脅發生的根因,換言之,針對被授權人員與其使用行為加強資安防禦方為正本清源立見成效之策。被授權使用者範圍甚廣,包括:
全球最佳內部威脅管理解決方案 ObserveIT ITM 自問世以來聚焦以「人」為導向的資安防禦,有效防範使用者行為所導致的資安事件與商業損失。就功能面,ObserveIT ITM 鎖定細膩與精確的 User Activity Metadata 與 Analytics 作為持續研發藍圖,而應用面,則以內部威脅為核心主軸不斷深化與擴展,協助企業組織建立以「人」為中心的資安防禦策略。
內部威脅已躍升為不可或缺的資安防禦重點
內部威脅意指凡被授權接觸組織內部資料、應用程式與系統之使用者,因蓄意或輕忽的使用行為所導致的資安風險或損失。蓄意行為包含了惡意破壞、間諜行為、竊取智慧財產、詐欺等,而輕忽行為則涵蓋了人為疏失、判斷錯誤、帳號被盜用,或遭釣魚郵件、惡意程式攻擊等。
「人」是內部威脅發生的根因,換言之,針對被授權人員與其使用行為加強資安防禦方為正本清源立見成效之策。被授權使用者範圍甚廣,包括:
- 特權人員:擁有 IT 系統管理權限或服務帳號之使用者。
- 第三方人員:服務廠商、委外人員、產業供應鏈或上下游夥伴。
- 專業從業人員:研究調查、系統開發、稽查人員等。
- 離職員工。
全球最佳內部威脅管理解決方案 ObserveIT ITM 自問世以來聚焦以「人」為導向的資安防禦,有效防範使用者行為所導致的資安事件與商業損失。就功能面,ObserveIT ITM 鎖定細膩與精確的 User Activity Metadata 與 Analytics 作為持續研發藍圖,而應用面,則以內部威脅為核心主軸不斷深化與擴展,協助企業組織建立以「人」為中心的資安防禦策略。
強調 Contextual Intelligence、Threat Signals、即時回應、整合、注重隱私等應用能力
全球最佳內部威脅管理解決方案 ObserveIT ITM 自問世以來即聚焦以「人」、「流程」、「技術」為中心的資安防禦策略,已經協助全球 1200 家以上的標竿企業迅速防範使用者行為所導致的資安事件與商業損失。就功能面,ObserveIT ITM 鎖定細膩與精確的 User Activity、 Metadata 與 Analytics 作為持續研發藍圖,而應用面,則以內部威脅為核心主軸不斷深化與擴展。
ObserveIT ITM 自 v7.0 版即持續精進其 FAM ( File ActivityMonitoring ) 資料外洩防禦應用範圍,強化檔案日誌歷程追蹤軌跡,主動偵測內部檔案與異常使用行為。2020 推出 v7.9 及 v7.10 版,經由 1200 實證客戶及 NIST、 CERT、OSIT 與 NITTF 業界專家累積建立了多達 350 條以上內部威脅專用之吿警規則與情境,隨選即用亦可自訂。
快速整合各系統日誌、告警事件與使用者之關聯性
ObserveIT ITM 亦強調隱私及去個資識別化,符合國際個資隱私之規範遵循,可自訂管理者瀏覽項目之權限,避免管理或稽核人員獲取權限以外之個資。
近年來 ObserveIT ITM 被賦予更高層級的資安使命,積極強化「偵測」與「回應」能力,著重於 Contextual Intelligence 與 Threat Signals 主動預警能力的發展,更以提升使用者行為風險可視性、Know the Whole Story、提前防禦時間軸為指標,完整洞悉各類威脅使用行為與資料外洩的關聯性,以利採取最即時的回應。
多重來源的系統日誌與常態性大量告警為延宕事件調查、辨識與回應速度之主因,ObserveIT ITM Contextual Intelligent 以人為中心的完整軌跡與快速關聯能力,可具體還原告警前後的人事時地物,進而補足其他資安系統資訊與軌跡之不足,並將以往資安防禦的被動於彈指之間立即化為主動。
資料外洩偵側及防護
善用 ObserveIT ITM 使用者行為與資料之關聯軌跡,有效強化資料外洩防護:
最常見的資料外洩前兆:
善用 ObserveIT ITM 使用者行為與資料之關聯軌跡,有效強化資料外洩防護:
- 依據全球客戶累積之資安事件偵測與分析經驗所制定之 350 條以上的內建告警規則與情境,可隨選即用或自行定義與擴充。
- Key-Logging 告警/偵測/控管,防範有心人士利用特殊功能鍵進行資料竊取。
- Email 附檔資料外洩之防禦及監控。
- 細膩的檔案活動監控政策,可監控檔案複製及列印活動。
- 設定異常時段登入告警。
- 具備可卸除式儲存裝置 (Storage、USB、Smart Phones、Tablets、SD Cards) 偵測管理功能。
最常見的資料外洩途徑:
- 透過網頁上傳/下載檔案。
- 同步雲端磁碟空間。
- 經由 Email 或 webmail。
- 使用可卸除式儲存裝置。
- 快捷鍵 Copy/Paste/檔案拖拉。
- 大量列印。
- Command Line。
最常見的資料外洩前兆:
- 非上班時段下載機敏資料。
- 將機敏資料搬移至非規範空間。
- 安裝可疑的軟體程式。
- 將客戶資料上傳至雲端空間。
- 複製檔案至白名單以外之可卸除式儲存裝置。
有效辨識使用者風險
善用 ObserveIT ITM 智慧型告警情境進行內部威脅管理,精確辨識使用行為風險,提前防禦時間軸:
- 累積來自全球 1200+ 家企業組織客戶使用經驗,以及 NIST, CERT, OSIT 及 NTTF 等資安專家智慧,提升 ObserveIT ITM 於資安防禦之適用性。
- 完整可視性:可提升即時使用者行為之辨識與分析,任何細微動作及隱含的意圖皆無所遁形。
- 使用者活動:全盤精準掌握使用行為,從登入、使用應用程式、上網、鍵盤動作等。
- 檔案活動追蹤:包含更名、複製、搬移等之檔案存取行為的軌跡留存。
加速資安事故鑑識及調查
內部威脅所造成的事故,其調查難度更高於一般資安事故,資安人員須會同各不同單位進行及時有效的人事時地物關聯性調查,方能迅速回應事件並立即採取必要的措施。ObserveIT ITM 所具備的四大功能特色,無須具備資安專業知識亦可參與資安事故調查及鑑識。
- 鉅細靡遺的使用行為軌跡:細膩的 Metadata + 智慧型 Screenshot Capture 側錄技術 + User Session Log,提供完整的 Who, What, Where, When & Why 軌跡留存。
- 資料加密與不可否認性:所有機敏的 Metadata 及視覺化記錄,除了 MS SQL 本身之加密機制,再以 AES Like 方式存放,確保證據與資料無法竄改或編輯。專屬加密播放器回播之加密格式側錄資料,確保鑑識資料之不可否認性,亦可增強證據能力。
- Google Like 搜尋:可依時間、使用者、內含文字、作業系統、Metadata 多元化欄位快速搜尋相關 Session 資料並回播完整軌跡過程。
符合法令遵循需求
- 兼顧資安政策與隱私保護,可進行個資去識別化,並自訂管理者瀏覽項目之權限。
- 多重稽核機制 (watch the watchers) : 稽核或資安管理人員檢視資料時,須於登入時進行第二道身份認證加以核實。
- 完整的使用活動記錄,可作為軌跡稽核之存證,亦可藉由 Metadata 快速產生多種稽核及覆核報表。
- 可藉由介面訊息視窗詢問或通知使用者,有助於資安政策與法令之宣導。
- 工作階段與記錄均加密保護以防範未經授權之存取,系統管理人員對於側錄資料之存取均內建稽核軌跡與資訊。