近年來,愈來愈多國際資安事件證實皆與內部威脅有關,顯示內部威脅管理已刻不容緩。Gather Research副總經理Anton Chuvakin表示:「內部威脅可分為三種型式,分別是惡意的 (Malicious)、善意的 (Well Meaning),以及被滲透的 (Comprised) 內部威脅,研究顯示,超過51%的內部威脅皆來自於惡意的,同時有超過50%的企業組織表示曾遭受到內部威脅的影響」。為了有效地扼止並減少內部威脅的發生,企業組織必須要有能力對端點的使用者行為加以監控與管理。Gartner在使用者與企業單位行為分析市場指南 (User and Entity Behavior Analytics; UEBA) 中強調:「由於惡意行為難以辨識與評估,此領域中之領導廠商在端點安裝Agent,針對使用者無任何日誌記錄的前後關係行為與資訊進行分析」,從正常的行為活動中區分出濫用或惡意行為,確定使用者意圖、收集確鑿的鑑識證據,甚至阻止或封鎖違規行為。
Verizon 2015資料外洩調查報告也顯示,90%的資安事件皆源自於授權使用者,分析這些由授權使用者所引發的資安事件,其中高達71%是因授權使用者「無心之過」或「濫用」行為所導致;真正由「別有用心」或「蓄意」授權使用者所導致的僅佔29%。另一項調查報告 - CERT Insider Threat Report也顯示,75%的內部威脅是無法預警的,而且一旦造成資安事件,所造成的財損與破壞程度是外部威脅的2倍。
為了進一步了解使用者授權存取與操作行為對企業營運與資安的關聯性,ObserveIT與國際知名的隱私暨資訊管理研究機構Ponemon Institute針對610位美國的IT與資安專業人員進行調查,並在近期共同發表了一份「What You Don’t Know will Hurt You: A Study of the Risk from Application Access and Usage」調查研究報告,該報告明確指出,日常工作中應用程式的使用,及使用者不經意的操作行為,已成為全球資安團隊嚴苛的資安潛在風險與挑戰。
- 超過70%受訪者表示,經由稽核與正式風險評估揭露對於應用程式的存取與使用缺乏監控機制。
- 71%內部資安違規事件源自於應用程式的使用者,而由特權帳號使用者引發之資安事件僅佔18%。
- 僅有8%受訪者表示,其所屬的企業組織已導入稽核與監控應用程式存取及使用的解決方案。
- 45%受訪者對於其所屬單位目前擁有的監控能力,均表示無法偵測到具風險性的使用者行為,並給予極低的評價。
內部威脅管理蔚為全球資安新顯學
近年來,眾多國內外資安事件經證實皆與內部威脅有關,國際知名研究調查機構如:Gartner、Verizon、Ponemon、CERT等,紛紛發表內部威脅相關報告與資安事件統計數據,綜觀結果,90%資安事件皆源自於授權使用者,其中高達71%事件為授權使用者之「無心之過」或「濫用」行為所導致,而真正「別有用心」或「蓄意」授權使用者所導致的事件僅佔29%;亦有報告強調,75%的內部威脅是無法預警的,一旦造成資安事件,形成的財損與破壞程度是外部威脅的2倍。因此,內部威脅管理已成為Cyber Security防護作戰刻不容緩的焦點。建構以「人」、「資料」、「流程」為核心的內部威脅暨端點防護之資安架構
以往企業組織資安策略多著重架構、網路的安全性,不論如何堅實的環境,終須授權一般營運、特權帳號及第三方維護廠商等使用者進行應用程式、資料與系統之存取。這些使用者正是接觸外部資安風險的主要媒介,甚至是被蓄意攻擊的目標,因此在駭風盛行且資料外洩事件頻傳的今日,Gartner建議採取以人、資料及流程為核心焦點的「內部威脅暨端點防護資安」策略。企業組織應對於具備權限之各類使用行為進行偵測分析,藉由端點操作行為的實際畫面記錄及詳盡的Log輔助,協助管理者提前洞悉與阻絕各違規行為與內部威脅,並即時回應與控管風險。
Gartner UEBA指南評定ObserveIT為「具代表性廠商」
ObserveIT 於 Gartner「2015年使用者與企業單位行為分析市場指南 (User and Entity Behavior Analytics; UEBA)」中被評定為「具代表性廠商」。Gartner UEBA報告指出,2015年中,終端使用者組織對於「使用者行為分析」的需求成長了近10倍,其中針對「資安分析」的需求占25%。此外,Gartner亦預估2017年UEBA全年市場營收與市場規模將成長4倍。UEBA強調,內部威脅已被定位為5大資安專業領域與常見案例,每3個資安事件,就有2個是源自於內部使用者。ObserveIT:使用行為改變 = 內部威脅風險/2
為有效防範來自企業內外部的威脅,企業組織資安思維需有具體的變革。ObserveIT以「人」作為一切資安控管的出發點,是現今市場中最受青睞的內部威脅管理解決方案,ObserveIT主動偵測內部潛在之異常使用者風險活動,對於違規使用行為,,例如:異常時段登入、異常程式安裝/使用、異常執行序、USB儲存裝置檔案複製、雲端上傳、惡意網站瀏覽、異常列印、檔案追蹤與變更等,可依據內規制定四種等級之偵測與管控,包括: 資安政策宣導、中斷操作、阻絕關閉與強制登出。加密的視覺化軌跡,以利調查與還原事件過程,並進一步辨識蓄意或濫用行為,達到視覺化「事前偵測阻絕」、「事中蒐證回應」與「事後稽核舉證」的資安管理目標。
Detect偵測
- 洞悉違反內部資安政策之使用行為並進行風險排名。
- 內建逾200種國內外常見之內部威脅偵測告警規則。
- 內建25種內部威脅分類可依使用者群組分別設定,如: 資料外洩、提權、滲透、未經授權之管理行為、應用程式之資料竊取、肆意或蓄意資料搜尋等,亦可依內規自行定義。
Deter阻絕
- 針對使用者違反內部資安政策之行為發出警告訊息。
- 告知使用者其違規行為已被側錄並將進行稽核。
- 經證實即時警告使用者可有效減少80%的違規行為。
Educate教育
- 以即時資安訊息宣導對使用者進行資安教育。
- 經證實宣導教育可有效降低50%資安事件之發生。
Prevent 預防
- 內部資安政策貫徹執行與檢視。
- 立竿見影之數據資產保護與損害控管。
- 最佳化偵測與管控流程: 資安政策宣導、中斷操作、阻絕關閉及強制登出,實施資安分段防護。
Investigate調查
- 精確追溯違規事件發生點,大幅縮短回應與調查時間。
- 即時辨識與過濾內部威脅行為與意圖。
- 進行視覺化軌跡蒐證,具不可竄改之證據能力。
- Web-Based風險儀表板即時提供管理者整體內部威脅可視性與關聯性軌跡,明確顯示各類使用者、各部門單位、各類觸警風險行為累計/新增之指數與趨勢,並可自訂或套用內建逾290種告警規則/逾29種分類,可進行風險指數重置。
- 提供使用者行為歷程進階統計分析,包括遠端連線來源、常用登入帳號/端點/裝置/應用程式/網站等分析與使用時間、平均活動或超時工作統計等。
- FAM (File Activity Monitoring) 檔案活動監控功能,提供詳細的檔案日誌與使用歷程,凡檔案複製、移動、重新命名或刪除等,皆可立即告警與追蹤視覺化檔案軌跡,以利加速數據資料外洩事件之調查。
- Windows環境內可進行應用程式進階控管,針對未授權或異常應用程式使用行為進行偵測,具備強制關閉未授權之應用程式或強制登出等預防機制。
- 針對Linux/Unix環境可阻絕未經授權指令、指令參數或蛙跳行為,可偵測與側錄Linux/Unix使用者執行之命令與輸入指令後的Output字串,包括Script中內含之指令與系統命令產生的底層指令,及所有終端螢幕之輸出畫面。
- 當使用者連接USB儲存設備時,可立即偵測及告警。當系統偵測到以快捷鍵複製、或拖拉複製檔案至雲端儲存空間等行為時,將主動告警並側錄檔案名稱。
- 可針對列印工作進行監控、偵測與記錄本機/網路印表機的列印工作細節,顯示使用者、主機名稱、印表機名稱/品牌、列印檔案名稱、列印頁數與大量列印等資訊。
- 具備URL安全過濾機制,內建逾數十種分類及逾數百億筆Indexed URLs情資資料庫並可每日更新,針對例如釣魚、高危險性、未被授權網站等之瀏覽行為進行偵測、告警或中斷。
- 可設定「匿名模式」,將風險儀表板及 Web Console 所顯示之使用者資訊加以匿名,確保使用者隱私與個資之保護。
- 側錄資料皆具備AES加密保護與浮水印,並具備雙重密碼保護機制亦可整合數位簽章,並須依管理權限以ObserveIT播放器進行回播,確保資料無法竄改同時提升證據能力。
- Agent符合FIPS國際標準。具備離線側錄功能,網路斷線時Agent仍持續側錄,待連線恢復自動回傳檔案至資料庫。凡蓄意更改、刪除Agent檔案或終止Agent運作時,Agent之Watchdog機制將自動重啟並發送即時警示email通知管理者。
- 支援Windows、Mac、Linux、Unix/HP-UX、Solaris等作業平台,並可增設Windows/Linux管理者身份或共用帳號之第二道認證,及Windows身份盜竊偵測與警示功能。
- 支援 VMware View、Citrix XenApp / XenDesktop、Ericom、Windows Remote Desktop、TeamViewer、P C a n y w h e r e 、V N C 、T e l n e t 、S S H 、N e t o p 、Dameware、Putty、FTP/SFTP等遠端連線操作側錄。
- 可將收集之資訊自動匯出成C S V 或C E F 檔案, 與LogRhythm、Splunk、IBM PIM/Security QRadar、HP Arcsight、RSA enVision、Citrix、Lieberman、Tibco、Servicenow或Microsoft SCOM整合,亦提供Webservice整合Ticketing系統,如:OITicket特權帳號流程系統,以進行工單申請、核准及權限開通與視覺化覆核,落實申請核准記錄、軌跡資料、存取證據、監控記錄之保存。
v7.1
檔案活動監控(File Activity Monitoring, FAM)
- 追蹤並告警所有瀏覽器下載或匯出之檔案:From the internet or intranet
- 追蹤並告警檔案複製至雲端空間之local sync folder:Dropbox, Google Drive, iCloud, Box, OneDrive (last 2 are only for Windows)
- 追蹤並記錄檔案變更:Copy, move, rename, delete
- 檔案日誌 – 快速調閱及篩選檔案追蹤記錄:Print and export to Excel
- 檔案歷程 – 提供完整軌跡及回播畫面:View file history and Video playback
FAM: 記錄瀏覽器下載之所有檔案
FAM: 檔案歷程軌跡記錄
FAM: 下載檔案屬性即時告警
FAM: 下載檔案並複製雲端空間Sync Folder即時告警
Clipboard剪貼簿-複製內容即時告警
告警事件檢視報告-Alerts & Screen Shots PDF
新增報表
New Platforms
- Agent support of Windows Server 2016
- DBA Activity support for MS SQL Server Management Studio 2016
- 64-bit Application Server
v7.0
強制中斷並登出
- 嚴格落實內部資安政策。
- 有效對資產或智慧財產進行保護,並防止潛在的商業損失。
- 藉由強制使用者登出以提昇安全性,強化控管流程。
強制關閉未經授權使用之應用程式
使用者行為歷程分析
- 透過新安全事件與使用者日常使用行為的掌握以縮短調查時間。
- 識別高危險使用者的活動,如:異常使用應用程式/網站/Unix指令,或在不常使用的電腦上執行程式。
- 增加對同仁與維護廠商生產力的可視性,了解他們在每個應用程式所花費時間、工作日/工時及閒置時間。
優化Web Console管理介面
- 嶄新的Web管理介面與儀表板,高解析度呈現更多細節資料。
Key-Logging告警
- 針對使用電子郵件、聊天應用程式、社交媒體網站過程,設定需要保護的關鍵字,以偵測潛在的資料外洩發生。
- 辨識於CLI工具中所執行的指令,如:Windows CMD、PowerShell、PuTTY、Mac終端機。
- 偵測同仁於工作場所使用不當暴力言語、或與客戶溝通時不當的表達。
Insider Threat Library 規則更新管理
- 無需軟體升級即可自動更新,保持最新的威脅資訊來源。
- 不影響客戶原有規則或列表設計。
v6.7
優化警示機制 – 精準發出警告、降低假警報
- 超過180個隨選即用的預設警示規則 (Insider Threat Library; ITL)。
- 警示規則可針對不同族群如:特權帳號、日常使用者、第三方廠商、及離職員工等進行設定。
- 可針對特定使用群組設定統一的風險指數。
優化警示機制 – 24種內建警示規則群組
以群組分類原則、將相同屬性之警示規則進行群組、方便進行設定。| 資料外洩 (12) | 建立後門 (7) | 安裝及移除可疑軟體 (17) |
| 滲透行為 (4) | 績效違規事項 (12) | 預備攻擊 (8) |
| 隱藏資訊及覆蓋軌跡 (15) | 主機上未經授權存取行為 (4) | SHELL攻擊 (3) |
| 未經授權登入存取 (12) | 執行惡意程式 (7) | 未經授權開啟SHELL (3) |
| 未經授權資料存取 (3) | 執行未經授權之管理者行為 (12) | 系統破壞 (3) |
| 安全性控管設定異動 (9) | 版權侵權 (3) | 特權提升行為 (4) |
| 違規不當行為 (8) | 肆意或蓄意資料搜尋 (12) | 身份盜竊 (2) |
| 濫用行為 (6) | 執行未經授權之通訊工具 (3) | 系統竄改 (2) |
更有效的警示規則管理
- 警示規則加以群組化、方便快速設定與取消。
- 可建立使用者清單及關鍵/敏感字元清單對應不同警示規則。
- 更容易針對不同但風險程度相同的使用者設定警示規則。
- 可針對大量警示規則的改變 (如:啟用或刪除) 進行同步執行。
更有效的警示規則管理 – 名單
- 使用者名單:可用於警示規則定義或分配的用戶和/或Active Directory群組中的列表、如:部門、日常用戶、特權用戶、遠端連線維護廠商、準備離職員工等。
- 一般名單:可用於警示規則定義的關鍵字列表、如:敏感資料/檔案/內部EIP名稱、 VIP客戶、機敏應用程序、機敏關鍵字/主機名稱、網路位置等。
增加使用者活動與風險的可視性 – 網路分類
- 整合第三方惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個URLs) :
- 非系統管理員的日常使用者 (非系統管理員) 瀏覽討論網路監聽或駭客技術的網站。
- 使用者存取雲端磁碟空間。
- 當使用者存取惡意或釣魚網站時,即時顯示中斷訊息。
- 將伺服器用在與工作無關之事務,如:P2P服務、社交媒體、收看線上視訊…等。
- 在Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
- 使用者將時間花費在遊戲、賭博、運動或新聞網站。
- 內建網站分類包含以下:Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。
增加使用者活動與風險的可視性 – 列印監控
新增對列印工作的監控、可以偵測到任何來自本機或網路印表機的列印工作:- 列印檔案之使用者/電腦的相關資料。
- 列印中的文件名稱。
- 印表機名稱與製造商資訊。
- 列印文件的張數。
- 大檔案列印 (>10頁資料)
增加使用者活動與風險的可視性 – 新儀表板視圖
風險儀表板上新圖表的呈現、讓管理者能在一定的時間內更清楚地瞭解使用者風險以及行為的發展趨勢。
使用者匿名保護
- 在匿名模式下、所有使用者資訊將不會顯示在風險偵測儀表板及Web Console中、保護使用者隱私。
- 在匿名模式下、可針對特定使用者或使用族群取消匿名模式。
- 可與HR名單 (如:已離職員工) 進行整合以進行個別管理與監控。
支援更多作業平台
- 新增Mac Agent
- 支援Windows 10 (含Edge瀏覽器)
- 支援Ubuntu 16.04
- 支援RHEL 7.2
ObserveIT v6.7版新功能介紹影片
- 優化警示機制
- 增加對使用者活動與風險的可視性 – 網路分類
- 增加對使用者活動與風險的可視性 – 列印監控
- 24種內建警示規則群組
- 使用者匿名保護
v6.5
追蹤使用者行為
協助管理者透過新使用者行為分析工具,快速掌握風險:- 總違規數:總計所有反公司政策之行為、警示通知、中斷訊息及拒絕存取等所有事件之數量。
- 過去7日趨勢:比對本週與前一週所有警示通知訊息之趨勢走向。
- 自昨天以來的新警告:顯示自昨天以來所有發生警告通知的總數。
落實資安政策 – 柔性宣導
以即時訊息告知同仁其操作行為已違反公司資安政策,藉以進行機會教育。
落實資安政策 – 強制中斷
即時跳出中斷操作之畫面視窗,告知同仁其操作行為已違反公司資安政策,並要求輸入原因後方得繼續進行。
落實資安政策 – 強制阻絕惡意行為與未經授權活動
- 針對Unix/Linux環境,可直接強制中止並阻絕惡意行為或未經授權的活動,讓使用者無法繼續執行違反公司政策作業。
- 可針對使用者ID、指令名稱 (如:su、sudo、rm) 、電腦名稱、IP位址、作業系統…等設定強制中斷規則。
偵測式或動態式畫面側錄技術
可選擇性設定僅蒐集使用者行為之Metadata,一旦使用者觸發告警時,ObserveIT立即開始側錄違規行為過程。ObserveIT之側錄畫面與Metadata整合,可快速搜索特定行為,同時重建事件發生前、中、後的關聯性。
v6.3
USB設備連接偵測
可自行設定於偵測到USB設備連接時,在側錄畫面顯示〝USBCONNECT〞文字。
資料遺失或外洩偵測
偵測在Agent主機快捷鍵或拖拉複製之檔案大小或檔案數量大於設定值時,都會顯示”LARGEFILECOPY”文字。
新搜尋介面 - 提供更快速更精準搜尋機制
大幅提升搜尋效能,提供更細膩分類式搜尋範圍與條件。
主控台「僅設定與管理」角色
主控台新增一個「僅設定與管理」角色,該角色使用者登入ObserveIT主控台後,僅能使用「設定」頁籤下之功能。