內部威脅已躍升為不可或缺的資安防禦重點
內部威脅意指凡被授權接觸組織內部資料、應用程式與系統之使用者,因蓄意或輕忽的使用行為所導致的資安風險或損失。蓄意行為包含了惡意破壞、間諜行為、竊取智慧財產、詐欺等,而輕忽行為則涵蓋了人為疏失、判斷錯誤、帳號被盜用,或遭釣魚郵件、惡意程式攻擊等。
「人」是內部威脅發生的根因,換言之,針對被授權人員與其使用行為加強資安防禦方為正本清源立見成效之策。被授權使用者範圍甚廣,包括:
- 特權人員:擁有 IT 系統管理權限或服務帳號之使用者。
- 第三方人員:服務廠商、委外人員、產業供應鏈或上下游夥伴。
- 專業從業人員:研究調查、系統開發、稽查人員等。
- 離職員工。
全球最佳內部威脅管理解決方案 ObserveIT ITM 自問世以來聚焦以「人」為導向的資安防禦,有效防範使用者行為所導致的資安事件與商業損失。就功能面,ObserveIT ITM 鎖定細膩與精確的 User Activity Metadata 與 Analytics 作為持續研發藍圖,而應用面,則以內部威脅為核心主軸不斷深化與擴展,協助企業組織建立以「人」為中心的資安防禦策略。

強調 Contextual Intelligence、Threat Signals、即時回應、整合、注重隱私等應用能力
全球最佳內部威脅管理解決方案 ObserveIT ITM 自問世以來即聚焦以「人」、「流程」、「技術」為中心的資安防禦策略,已經協助全球 1200 家以上的標竿企業迅速防範使用者行為所導致的資安事件與商業損失。就功能面,ObserveIT ITM 鎖定細膩與精確的 User Activity、 Metadata 與 Analytics 作為持續研發藍圖,而應用面,則以內部威脅為核心主軸不斷深化與擴展。
ObserveIT ITM 自 v7.0 版即持續精進其 FAM ( File ActivityMonitoring ) 資料外洩防禦應用範圍,強化檔案日誌歷程追蹤軌跡,主動偵測內部檔案與異常使用行為。2020 推出 v7.9 及 v7.10 版,經由 1200 實證客戶及 NIST、 CERT、OSIT 與 NITTF 業界專家累積建立了多達 350 條以上內部威脅專用之吿警規則與情境,隨選即用亦可自訂。
快速整合各系統日誌、告警事件與使用者之關聯性
ObserveIT ITM 亦強調隱私及去個資識別化,符合國際個資隱私之規範遵循,可自訂管理者瀏覽項目之權限,避免管理或稽核人員獲取權限以外之個資。
近年來 ObserveIT ITM 被賦予更高層級的資安使命,積極強化「偵測」與「回應」能力,著重於 Contextual Intelligence 與 Threat Signals 主動預警能力的發展,更以提升使用者行為風險可視性、Know the Whole Story、提前防禦時間軸為指標,完整洞悉各類威脅使用行為與資料外洩的關聯性,以利採取最即時的回應。
多重來源的系統日誌與常態性大量告警為延宕事件調查、辨識與回應速度之主因,ObserveIT ITM Contextual Intelligent 以人為中心的完整軌跡與快速關聯能力,可具體還原告警前後的人事時地物,進而補足其他資安系統資訊與軌跡之不足,並將以往資安防禦的被動於彈指之間立即化為主動。

善用 ObserveIT ITM 使用者行為與資料之關聯軌跡,有效強化資料外洩防護:
- 依據全球客戶累積之資安事件偵測與分析經驗所制定之 350 條以上的內建告警規則與情境,可隨選即用或自行定義與擴充。
- Key-Logging 告警/偵測/控管,防範有心人士利用特殊功能鍵進行資料竊取。
- Email 附檔資料外洩之防禦及監控。
- 細膩的檔案活動監控政策,可監控檔案複製及列印活動。
- 設定異常時段登入告警。
- 具備可卸除式儲存裝置 (Storage、USB、Smart Phones、Tablets、SD Cards) 偵測管理功能。
最常見的資料外洩途徑:
- 透過網頁上傳/下載檔案。
- 同步雲端磁碟空間。
- 經由 Email 或 webmail。
- 使用可卸除式儲存裝置。
- 快捷鍵 Copy/Paste/檔案拖拉。
- 大量列印。
- Command Line。
最常見的資料外洩前兆:
- 非上班時段下載機敏資料。
- 將機敏資料搬移至非規範空間。
- 安裝可疑的軟體程式。
- 將客戶資料上傳至雲端空間。
- 複製檔案至白名單以外之可卸除式儲存裝置。
有效辨識使用者風險
善用 ObserveIT ITM 智慧型告警情境進行內部威脅管理,精確辨識使用行為風險,提前防禦時間軸:
- 累積來自全球 1200+ 家企業組織客戶使用經驗,以及 NIST, CERT, OSIT 及 NTTF 等資安專家智慧,提升 ObserveIT ITM 於資安防禦之適用性。
- 完整可視性:可提升即時使用者行為之辨識與分析,任何細微動作及隱含的意圖皆無所遁形。
- 使用者活動:全盤精準掌握使用行為,從登入、使用應用程式、上網、鍵盤動作等。
- 檔案活動追蹤:包含更名、複製、搬移等之檔案存取行為的軌跡留存。
加速資安事故鑑識及調查
內部威脅所造成的事故,其調查難度更高於一般資安事故,資安人員須會同各不同單位進行及時有效的人事時地物關聯性調查,方能迅速回應事件並立即採取必要的措施。ObserveIT ITM 所具備的四大功能特色,無須具備資安專業知識亦可參與資安事故調查及鑑識。
- 鉅細靡遺的使用行為軌跡:細膩的 Metadata + 智慧型 Screenshot Capture 側錄技術 + User Session Log,提供完整的 Who, What, Where, When & Why 軌跡留存。
- 資料加密與不可否認性:所有機敏的 Metadata 及視覺化記錄,除了 MS SQL 本身之加密機制,再以 AES Like 方式存放,確保證據與資料無法竄改或編輯。專屬加密播放器回播之加密格式側錄資料,確保鑑識資料之不可否認性,亦可增強證據能力。
- Google Like 搜尋:可依時間、使用者、內含文字、作業系統、Metadata 多元化欄位快速搜尋相關 Session 資料並回播完整軌跡過程。
符合法令遵循需求
- 兼顧資安政策與隱私保護,可進行個資去識別化,並自訂管理者瀏覽項目之權限。
- 多重稽核機制 (watch the watchers) : 稽核或資安管理人員檢視資料時,須於登入時進行第二道身份認證加以核實。
- 完整的使用活動記錄,可作為軌跡稽核之存證,亦可藉由 Metadata 快速產生多種稽核及覆核報表。
- 可藉由介面訊息視窗詢問或通知使用者,有助於資安政策與法令之宣導。
- 工作階段與記錄均加密保護以防範未經授權之存取,系統管理人員對於側錄資料之存取均內建稽核軌跡與資訊。
ObserveIT ITM 系統安全更精進、Agent 支援更全面
- ObserveIT v7.11 Web Console 停止支援 Internet Explorer 瀏覽器,更改為 Microsoft Edge for Windows 10 version 25 或更高之版本。
- Agent 平台新增支援 macOS Big Sur 11。
強化資料外洩偵測能力,整合 Microsoft 資訊保護 MIP 功能
- 將 Microsoft Information Protection (MIP) 功能之分類、標籤和保護服務整合至 ObserveIT ITM 平台,提供單一、集中式的管理介面。
- 提供更細膩的使用者活動可視性,方便管理者進行搜查、分類及保護機敏資訊:
-運用 MIP 標籤 (label) 進行檔案追蹤、軌跡記錄、稽核報表。
-可依 MIP 標籤自訂資料外洩告警規則。
- 提供更細膩的使用者活動可視性,方便管理者進行搜查、分類及保護機敏資訊:

強化端點 IP 可視性-依工作階段記錄其 IP 位址
- 同一端點可記錄其不同工作階段所使用之 IP 並各自顯示,提升端點 IP 可視性。

Windows 工作階段播放介面優化
- 全新提昇工作階段播放技術:更安全、介面更友善、效能更快。
- 新增預覽小視窗功能。
更多、更細膩的內部威脅管理功能
- 端點代理程式自動更新(Beta)。
- 系統管理人員 ObserveIT ITM Web Console 上進行端點代理程式版本更新作業。
- 自行設定需更新之端點、時程。
- 直觀且友善的管理介面,隨時掌握更新的狀態。
- 檔案歷程追蹤功能提昇:可追蹤至"網路芳鄰"。
- 新增支援 macOS Catalina。
- 新增支援 ObserveIT ITM 主程式安裝於 Windows Server 2019 (64-bit only) 及 Microsoft SQL Server 2019。
強化Email附檔資料外洩之防禦及監控
- 新增Email偵測功能:寄/收件者(包含副本/密副本)之郵件地址、主旨、附檔之檔名/大小/數量之可視性。當發送至非授權之 Email 信箱時或附檔之大小超過特定範圍時,可進行即時告警。
- 郵件附檔上傳來源、下載後之檔案歷程追踨。
Activity Replay - 可自行定義告警觸發之前後錄製時間
Activity Replay:可設定告警觸發前後之側錄方式,例如: 觸發前後側錄 Metadata+Video,一般時間只側錄 Metadata; 亦可設定觸發前後側錄的時間長度,有效降低所需之磁碟空間。
側錄工作階段增加端點之當地時間戳記
- Management Console 之端點日誌、檔案日誌、告警及搜尋功能,均可顯示端點之當地時間戳記。
- 報表亦增加端點當地時間欄位之選項。
告警觸發調校功能 – 規則定義更為精準
- 透過告警觸發規則之調校,減少不必要告警之發生,降低資安人員的工作負荷。
- 提供多種調校方式。
- 排除特定使用者。
- 排除特定網域群組。
- 取消啟動 – 特定使用者/所有使用者。
- 大量刪除已觸發之告警記錄。
One-Click 自動切換檔案日誌至端點日誌之顯示方式 - 加速事件調查
檔案活動歷程之監控條件更為細膩及多檔案統計顯示功能
提供 Mac 更多、更完整的支援
- Notarization status from Apple from Mojave 10.14.5 & Mac certification is for a period of 5 years。
- 使用者行為監控:Mouse Clicks, Keystrokes, Application Changes。
- Recording Metadata: Screenshot, Window Title, URL, Application Name, Keylogging, Data Access (USB Connect, File Move/Download/Copy/Upload)。
- 工作階段型態:Console Login, Remote/VNC Login, Fast User Switch, Screen Sharing。
- Firefox / TOR 瀏覽器監控。
- Email 活動監控 : Microsoft Outlook for Mac version 2016 to 2019 and Outlook 365, Apple Mail version 10.12 to 10.14。
更多、更細膩的 Metadata 及告警規則,強化資料外洩防禦
新增更多可卸除式儲存裝置 (Storage, USB, Smart Phones, Tablets, SD Cards) 管理功能:
- 自動偵測載具本身之廠牌、型號、序號、標籤。
- 建立黑白名單進行管理。
- 更細膩之檔案活動監控政策。
- 可設定需監控檔案上下傳之 URL。
可設定需監控檔案類型上下傳之 URL。
- 包括鍵盤特殊功能鍵、組合鍵-PrScr,[Alt-PrtScr],[Cms-Shift-3],CTRL-V,CMD-V。
- 建立黑白名單進行管理。
- RESTful API 啟動/停止 ObserveIT ITM Agent 。
- REST API 將 FAM (File Activity Monitoring) 與外部系統 (如SIEM) 整合。
應用範例:監控 USB 之使用
應用範例:監控 USB 之使用 (續一)
- 建立 USB 載具黑白名單進行管理。
- 載具本身之廠牌、型號、序號、標籤及使用過程進行監控、告警。
- 軌跡留存。
應用範例:監控 USB 之使用 (續二)
應用範例:管理需監控檔案之 URL
- 可設定需監控檔案上下傳之 URL。
應用範例:管理需監控檔案之類型
- 可設定需監控檔案上下傳之類型。
Key Logger-鍵盤上特殊功能鍵、組合鍵之監控
- Detect special key, e.g. PrtScr, Esc, F8。
- Detect key combinations, e.g. [Alt-PrtScr], [Cmd-Shift-3]。
- Detect Paste operation via。
- Right Menu Paste。
- Ctrl-V。
- Shift-Insert。
- Cmd-V。
檔案活動監控 (File Activity Monitoring, FAM)
- 追蹤並告警所有瀏覽器下載或匯出之檔案:From the internet or intranet
- 追蹤並告警檔案複製至雲端空間之local sync folder:Dropbox, Google Drive, iCloud, Box, OneDrive (last 2 are only for Windows)
- 追蹤並記錄檔案變更:Copy, move, rename, delete
- 檔案日誌 – 快速調閱及篩選檔案追蹤記錄:Print and export to Excel
- 檔案歷程 – 提供完整軌跡及回播畫面:View file history and Video playback
FAM: 記錄瀏覽器下載之所有檔案
FAM: 檔案歷程軌跡記錄
FAM: 下載檔案屬性即時告警
FAM: 下載檔案並複製雲端空間 Sync Folder 即時告警
Clipboard 剪貼簿-複製內容即時告警
告警事件檢視報告-Alerts & Screen Shots PDF
新增報表
New Platforms
- Agent support of Windows Server 2016
- DBA Activity support for MS SQL Server Management Studio 2016
- 64-bit Application Server
強制中斷並登出
- 嚴格落實內部資安政策。
- 有效對資產或智慧財產進行保護,並防止潛在的商業損失。
- 藉由強制使用者登出以提昇安全性,強化控管流程。
強制關閉未經授權使用之應用程式
使用者行為歷程分析
- 透過新安全事件與使用者日常使用行為的掌握以縮短調查時間。
- 識別高危險使用者的活動,如:異常使用應用程式/網站/Unix指令,或在不常使用的電腦上執行程式。
- 增加對同仁與維護廠商生產力的可視性,了解他們在每個應用程式所花費時間、工作日/工時及閒置時間。
優化 Web Console 管理介面
- 嶄新的 Web 管理介面與儀表板,高解析度呈現更多細節資料。
Key-Logging 告警
- 針對使用電子郵件、聊天應用程式、社交媒體網站過程,設定需要保護的關鍵字,以偵測潛在的資料外洩發生。
- 辨識於 CLI 工具中所執行的指令,如:Windows CMD、PowerShell、PuTTY、Mac 終端機。
- 偵測同仁於工作場所使用不當暴力言語、或與客戶溝通時不當的表達。
Insider Threat Library 規則更新管理
- 無需軟體升級即可自動更新,保持最新的威脅資訊來源。
- 不影響客戶原有規則或列表設計。
優化警示機制 – 精準發出警告、降低假警報
- 超過 180 個隨選即用的預設警示規則 (Insider Threat Library; ITL)。
- 警示規則可針對不同族群如:特權帳號、日常使用者、第三方廠商、及離職員工等進行設定。
- 可針對特定使用群組設定統一的風險指數。
優化警示機制 – 24 種內建警示規則群組
以群組分類原則、將相同屬性之警示規則進行群組、方便進行設定。
資料外洩 (12) | 建立後門 (7) | 安裝及移除可疑軟體 (17) |
滲透行為 (4) | 績效違規事項 (12) | 預備攻擊 (8) |
隱藏資訊及覆蓋軌跡 (15) | 主機上未經授權存取行為 (4) | SHELL攻擊 (3) |
未經授權登入存取 (12) | 執行惡意程式 (7) | 未經授權開啟SHELL (3) |
未經授權資料存取 (3) | 執行未經授權之管理者行為 (12) | 系統破壞 (3) |
安全性控管設定異動 (9) | 版權侵權 (3) | 特權提升行為 (4) |
違規不當行為 (8) | 肆意或蓄意資料搜尋 (12) | 身份盜竊 (2) |
濫用行為 (6) | 執行未經授權之通訊工具 (3) | 系統竄改 (2) |
更有效的警示規則管理
- 警示規則加以群組化、方便快速設定與取消。
- 可建立使用者清單及關鍵/敏感字元清單對應不同警示規則。
- 更容易針對不同但風險程度相同的使用者設定警示規則。
- 可針對大量警示規則的改變 (如:啟用或刪除) 進行同步執行。
更有效的警示規則管理 – 名單
- 使用者名單:可用於警示規則定義或分配的用戶和/或 Active Directory 群組中的列表、如:部門、日常用戶、特權用戶、遠端連線維護廠商、準備離職員工等。
- 一般名單:可用於警示規則定義的關鍵字列表、如:敏感資料/檔案/內部 EIP 名稱、 VIP客戶、機敏應用程序、機敏關鍵字/主機名稱、網路位置等。
增加使用者活動與風險的可視性 – 網路分類
- 整合第三方惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個 URLs) :
- 非系統管理員的日常使用者 (非系統管理員) 瀏覽討論網路監聽或駭客技術的網站。
- 使用者存取雲端磁碟空間。
- 當使用者存取惡意或釣魚網站時,即時顯示中斷訊息。
- 將伺服器用在與工作無關之事務,如:P2P 服務、社交媒體、收看線上視訊…等。
- 在 Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
- 使用者將時間花費在遊戲、賭博、運動或新聞網站。
- 內建網站分類包含以下:Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。
增加使用者活動與風險的可視性 – 列印監控
新增對列印工作的監控、可以偵測到任何來自本機或網路印表機的列印工作:
- 列印檔案之使用者/電腦的相關資料。
- 列印中的文件名稱。
- 印表機名稱與製造商資訊。
- 列印文件的張數。
- 大檔案列印 (>10頁資料)
增加使用者活動與風險的可視性 – 新儀表板視圖
風險儀表板上新圖表的呈現、讓管理者能在一定的時間內更清楚地瞭解使用者風險以及行為的發展趨勢。
使用者匿名保護
- 在匿名模式下、所有使用者資訊將不會顯示在風險偵測儀表板及 Web Console 中、保護使用者隱私。
- 在匿名模式下、可針對特定使用者或使用族群取消匿名模式。
- 可與 HR 名單 (如:已離職員工) 進行整合以進行個別管理與監控。
若需針對特別對象進行調查、需提出申請並由管理者同意後始可進行非匿名化。
支援更多作業平台
- 新增 Mac Agent
- 支援 Windows 10 (含 Edge 瀏覽器)
- 支援 Ubuntu 16.04
- 支援 RHEL 7.2
ObserveIT ITM v6.7 版新功能介紹影片
- 優化警示機制
- 增加對使用者活動與風險的可視性 – 網路分類
- 增加對使用者活動與風險的可視性 – 列印監控
- 24 種內建警示規則群組
- 使用者匿名保護
追蹤使用者行為
協助管理者透過新使用者行為分析工具,快速掌握風險:
- 總違規數:總計所有反公司政策之行為、警示通知、中斷訊息及拒絕存取等所有事件之數量。
- 過去 7 日趨勢:比對本週與前一週所有警示通知訊息之趨勢走向。
- 自昨天以來的新警告:顯示自昨天以來所有發生警告通知的總數。
落實資安政策 – 柔性宣導
以即時訊息告知同仁其操作行為已違反公司資安政策,藉以進行機會教育。
落實資安政策 – 強制中斷
即時跳出中斷操作之畫面視窗,告知同仁其操作行為已違反公司資安政策,並要求輸入原因後方得繼續進行。
落實資安政策 – 強制阻絕惡意行為與未經授權活動
- 針對 Unix/Linux 環境,可直接強制中止並阻絕惡意行為或未經授權的活動,讓使用者無法繼續執行違反公司政策作業。
- 可針對使用者 ID、指令名稱 (如:su、sudo、rm) 、電腦名稱、IP 位址、作業系統…等設定強制中斷規則。
偵測式或動態式畫面側錄技術
可選擇性設定僅蒐集使用者行為之 Metadata,一旦使用者觸發告警時,ObserveIT ITM 立即開始側錄違規行為過程。ObserveIT ITM 之側錄畫面與Metadata整合,可快速搜索特定行為,同時重建事件發生前、中、後的關聯性。