近年來,企業內部資安威脅、使用者權限濫用、機密資料外洩事件層出不窮,若要掌握相關事態與及早預防,必須透過持續監控與稽核網路與使用者行為,因此,促成了使用者行為分析(User Behavior Analytics,UBA)資安產品的崛起,例如Splunk、Varonis、Rapid7都推出了這類型解決方案,而今年從Raytheon|Websense 改名的Forcepoint,也在7月中,正式發表新版的SureView Insider Threat(SVIT)。

在導入SVIT的環境當中,資安人員將可接收到異常行為的早期預警信號,而且不只能被動地側錄使用者電腦桌面的操作行為,還能在敏感資料外洩或遭竊前,主動介入,以便盡快阻止相關的行為、保護隱私,並且增進企業本身遵循法規要求的程度。

SVIT如何識別與阻擋內部威脅?這套系統會透過擷取所有相關資料,並在尊重使用者隱私的情況下,進行客觀、嚴格地檢驗──運作上,SVIT會連接所有的因素與面向,例如,對於使用者因疏忽、缺乏規訓或本身有不良企圖所引發的種種行為,皆可經由側錄的方式擷取下來。因為,這些奇怪的狀況,都可能是即將發生資料外洩事件的警訊或前兆。

而在辨識威脅的能力上,SVIT主要是以正常的使用者行為作為判斷基準,裡面所採行的技術,能夠從看似尋常的行為找出偏差的行徑,例如,資料存取、工作時間、電子郵件活動,或是從網路將檔案複製到個人電腦桌面等行為的變化。此外,這套產品也能標示出端點裝置出現的異常動作,例如可能意味著有其他人正在冒用你的身分,或是系統遭到惡意程式綁架。類似這樣的風險指標,企業可納入參考,作為是否應深入執行調查的一種警訊。

此外,SVIT能夠側錄使用者Windows與Mac電腦桌面活動的畫面,並且進行回播,就像在操作數位視訊監控系統(DVR)。系統所擷取的影片,能協助負責人員在可疑行為轉變成大問題之前,就能推斷出對方的各種動機,例如,員工突然在電腦或伺服器端設立了後門,或是開始大量囤積所能存取的資料。

這項功能還能用來教育粗心大意的員工,透過影片播放的方式訓練他們學會謹慎行為的習慣。當然對於懷有惡意的內部使用者,透過SVIT產生鑑識等級的記錄,也能提供相關的歸因,具有提交給法庭參考的資格,甚至還能幫忙因為電腦被惡意程式所綁架的無辜使用者,藉由證明電腦是受到他人操控而逕行惡意行為,使用者確實毫不知情,進而還其清白。

產品資訊

●產品名稱:Forcepoint SureView Insider Threat
●原廠:Forcepoint(02)8758-2970
●建議售價:廠商未提供
●系統部署方式:獨立系統、多臺伺服器系統
●系統元件:伺服器(主系統節點、收集器節點、中央資料庫)、監控元件(代理程式、受監控工作站、政策、通路)、管理元件(操作員、操作員工作站、命令中心、企業應用程式套餐、管理者主控臺)
●操作員工作站系統需求:Windows Vista/7/8.1/10
●存取命令中心的瀏覽器:IE10、Firefox v37、Chrome v40、Edge v25

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容