針對內部威脅的監控,ObserveIT(OIT)算是相當有名,原廠向來以OIT單一產品,提供企業監控使用者操作電腦的過程,藉此找出疑似異常的使用者行為。

而這款軟體,在2015年時發表的6.0版中,加入了使用者風險評分機制,轉型為內部威脅管理平臺後,今年的4月,OIT再度推出7.0大改版,不只針對內部威脅儀表板的介面加以強化、調整,提供了單一使用者個人事件的資訊調查頁面,同時,新版本內建了200多條偵測規則,管理者設定這套軟體時,就能快速套用,減少部署所需的時間。

目前OIT最新的版本是7.1,加入更多資料外洩防護的能力,將內部威脅的調查,首度擴及使用者從網頁下載的外部檔案,並且對於資料庫操作的部分,提供專屬的事件記錄搜尋頁面。

在之前版本的OIT系統裡,若是發現使用者執行違反公司規範的操作時,仍以勸導遵循公司的規定為主,要求使用者說明原由後,再予放行。而新版的OIT中,則加入了強制封鎖的機制,能夠直接將使用者登出,或是關閉正在執行的應用程式。

另外,在端點代理程式的部分,現在OIT 7.x也正式支援最新的微軟伺服器平臺Windows Server 2016,並且擴大推出macOS平臺的代理程式,將使用蘋果電腦的員工,納入正式列管的範圍。不過,這幾年來,員工自行攜帶行動裝置辦公日益普遍,這套產品尚未提供行動裝置專屬的管理App,可能會造成內部威脅監控上的死角,代理商漢領國際表示,將此類裝置納入支援,原廠已經評估當中。

首度提供下載檔案的端點歷程追蹤,讓事件調查的情資更加完整

新版OIT不只能追蹤使用者操作應用程式的歷程,還能延伸到使用者下載的檔案上。在這項功能中,員工若是透過瀏覽器,下載資料到電腦裡,無論檔案是透過HTTP,還是HTTPS協定傳輸,OIT都會加以記錄後續的更動歷程,像是遭到更動、修改檔案名稱、存放位置搬移等,管理者都能在OIT管理介面裡進行調查。

機敏檔案在攻擊事件中,經常是關鍵標的,例如,有些即將離職的員工,會試圖將公司的重要檔案備份攜出,或是刪除文件中的內容,而有心人士也想要取得這些祕密資料,藉此從中牟取利益。然而,在既有版本的OIT功能中,只針對使用者的行為側錄,至於企業機敏資料的動態,則難以從OIT記錄的內容得知。

從內部威脅的角度來看,OIT的這項新功能,可將使用者的行為,呈現更加完整的資訊。從來自外部攻擊的角度而言,也能對於來自程式的無使用者操作行為,進行側錄,尤其是在使用者瀏覽已遭到植入惡意程式的網頁時,很可能導致電腦被有心人士掌控,下載軟體竄改或是竊取其中的重要資料。

由於針對使用者透過瀏覽器存取的資料,OIT都可進行監控,因此能記錄檔案下載後存取歷程的範圍,可說是相當廣泛。

基本上,能透過瀏覽器存取的企業應用程式,包含了像是雲端檔案共享服務,以及許多公司內部採用網頁介面的各式應用系統,像是客戶關係管理平臺(CRM)、ERP、交易系統,以及RD存放程式原始碼的系統等。若員工經由上述平臺取得企業機敏資料,到了OIT中,不只記錄下載行為,在端點電腦上,檔案執行的任何變更,OIT也會進一步追蹤。

而對於防止這些檔案向外傳送,以免造成資料外洩隱憂的防護上,OIT能識別常見檔案雲端服務的桌面版檔案同步軟體,包含了Dropbox、Google Drive、iCloud、Box、OneDrive等,使用者若是將前述方式下載的檔案,複製到這些服務的同步資料夾,OIT便會啟動警示的功能。不過,若是員工使用其他的OIT未支援檔案雲端空間服務,安裝了相關應用程式進行同步,例如Mega、百度雲,或是國內的Hami+個人雲,以及Asus Webstorage等,管理者就要改以其他措施管理,例如,加入自訂OIT的規則,監控並限制相關應用程式的執行。

在測試環境中,我們模擬下載企業內部的客戶資料檔案,然後試圖修改檔案名稱,再傳送到外部的私人雲端空間,藉此掩人耳目,至於原始的檔案,則是刪除,以免留下證據。

我們從企業版Dropbox雲端空間裡,下載了一個名為客戶名單的Excel測試檔案,存放到已經安裝OIT代理程式的端點電腦上。

下載完成後,我們隨意修改它的檔案名稱,並且從預設的下載資料夾搬移到桌面,再複製一份到電腦同步存取OneDrive檔案的資料夾,進行上傳,最後將桌面上的檔案刪除。

然後,我們在OIT的管理介面中檢視,就會接收到警示通知,描述使用者透過OneDrive同步資料夾,將機敏的客戶資料,在變更檔案的名稱後,才傳送到外部電腦。

接下來,若點選檔案的歷程記錄資訊,就能看到這個檔案來自於Dropbox網站,以及原始的檔案名稱是客戶名單.XLS。附帶一提,管理者也可以使用關鍵字,像是與某個已知的檔案部分名稱,透過OIT管理介面的搜尋功能,追溯檔案變更的相關記錄。

在檔案的歷程記錄明細裡,也看得出我們修改Excel檔案的時間,但其中所做變更的內容,目前仍需要切換到OIT側錄的使用行為軌跡畫面,才能得知,尚未具備新舊檔案的比對功能。代理商指出,原廠也規畫未來加入檔案修改之後備存(File Archive)的機制,藉此提供相關的舉證能力。

此外,OIT 7.1的檔案追蹤功能,目前只適用於透過瀏覽器下載取得的檔案,對於使用者端點電腦中原本存放的資料,或是透過內部網路存取共享資料夾的行為,尚未在支援的範圍。代理商指出,原廠已規畫後續版本加入相關的監控機制。也因為這項功能適用的範圍限制,在我們的環境中,仍被標示為測試版。

針對端點電腦資料外洩的防治,新版的OIT也對於機敏文字的複製,加入相關的對策。

管理者可透過新版OIT的代理程式,監控電腦剪貼簿的功能,若是使用者複製了含有特定字串的內容,到指定的應用程式,OIT便會通知管理者。因此,即使使用者想要將機敏文件的內容,複製、貼上到另一個未受OIT監控的檔案中,OIT還是能發現此類異常事件。

我們假設在公司內部中,有個代號為先行者(Voyager)的祕密開發計畫,在測試環境裡新增OIT政策條件,端點電腦複製到剪貼簿的內容只要有上述的計畫名稱字串,而且是轉貼到Word文字編輯器等應用程式的情況下,便通知管理者加以留意。

而在受測的端點電腦中,我們以Word開啟預先製作的計畫開發文件樣本,然後將檔案中的內容,剪貼到新增的Word文件上,隨後,在OIT的管理平臺中,便會出現警示,提醒管理者注意該名使用者的動態,可能正在洩露公司的內部文件內容。

此外,在端點電腦的監控之餘,新版OIT也針對資料庫和SFTP檔案伺服器,提供有關的防護措施。對於資料庫的修改歷程,與前述的端點機敏資料相同,OIT推出了專屬的歷程查詢頁面,若是公司資料庫不幸遭到竄改,這項功能有助於管理者還原事情發生的經過。

這套使用者行為側錄系統,原本就能監控幾款可存取資料庫的應用程式,像是微軟SQL Server Management Studio(SSMS)、Toad for Oracle,以及SQL Plus等,而新版OIT則是延伸支援能監控較新的SSMS 2016版,由於這個版本的SSMS,開始能適用於多個版本的SQL Server,OIT能夠監控這支應用程式之後,對於採用這種類型資料庫的OIT用戶,支援更加完整。

而檔案伺服器的部分,OIT 7.1則是針對執行Linux作業系統的伺服器,新增封鎖執行特定指令的能力。使用者如果想要試圖藉由遠端伺服器,繞過作業系統的安全控管機制來執行某些命令時,OIT便能進行封鎖,阻止使用者存取檔案伺服器上的機敏資料。

目前針對這種透過Linux平臺架設的FTP檔案伺服器,OIT能支援常見的指令,像是移除目錄rmdir、列出檔案ls、刪除檔案rm,以及下載檔案get等。

可檢視個別使用者近期工作情形

在內部威脅儀表板中,ObserveIT 7.1在既有的使用者風險排行榜之外,配置了使用者個人資訊的專屬查詢頁面。管理人員可在此針對指定的使用者,瀏覽其執行所有應用程式的頻繁程度,以及是否出現異常情形。

資料庫更動記錄也能夠調查

針對資料庫管理員的操作,ObserveIT 7.1也提供了專屬的查詢頁面,若是管理者執行了SQL指令,在此就會留下記錄。此外,對於刪除資料表等重大事件,ObserveIT的列表也會加以標記,提醒優先檢視其中的詳細內容。

針對個別使用者事件記錄追蹤,提供專屬統整資訊

在OIT提供的管理介面中,主要可分為兩個部分,首先是既有版本就存在的主控臺,可執行調整設定,以及搜尋特定情況的異常事件功能,另一個則是則是6.0版開始提供的內部威脅分析儀表板,藉由為使用者評分,讓管理者能快速聚焦需要特別留意的使用者。而在新版的OIT中,則是在儀表板之中,額外加入了使用者個人活動記錄(User Activity Profile)頁面,管理者可藉此針對特定用戶,檢視在公司上班時,執行的應用程式的統計資訊。

以往的OIT儀表板中,若是想要檢視其中指出的高風險用戶詳細狀態,管理者便會被引導到其主控臺的事件搜尋頁面,並列出該名使用者近期執行應用程式的記錄明細,然而,用戶的活動頻率,卻難以得知。

而新版OIT的個人活動記錄頁面中,則在使用者近期的電腦、伺服器操作情形之外,加入了較多的統計資訊,包含這個用戶平均每天工作時數,每周工作的天數,並以長條圖呈現走勢,管理者便能得知這個員工平時的執勤狀態。

假如員工突然開始經常在半夜登入公司的系統,就可從這個頁面調查是否為異常。

基本上,OIT的使用者個人活動記錄,預設顯示最近一個月內的資料,但實際上,我們可以自由調整統計的時間周期,追溯特定期間的情況。

在OIT的使用者個人活動記錄頁面裡,也具備既有版本OIT的搜尋功能,我們仍然可以透過左側的過濾選單,指定使用者執行應用程式、登入的端點電腦、使用者帳戶,以及採取本機或遠端連線來源電腦等條件,瀏覽有關的應用程式執行事件。

值得一提的是,針對持續發生的事件,OIT也提供了關鍵畫面的彙整,因此,管理者不只能透過單一事件的側錄內容,逐一進行調閱,也能經由關鍵畫面的方式,串連可能有關的警示事件。

以關鍵畫面預覽縮圖串連關連事件

在事件的採證中,ObserveIT原來就整合螢幕畫面錄製的機制,而新版系統裡,則開始提供關鍵畫面的縮圖與簡要說明,讓管理者能夠更直覺地快速找到需要調閱的片段。

採用群組機制,簡化管理者設定使用者及應用程式管制政策流程

新的OIT 7.1不只強化了找出內部威脅事件的能力,最大的改變,就是在管制的政策中,終於提供了能指定某個群組套用設定的機制。

管理者需要針對執行的使用者、來源端點電腦、操作的應用程式,以及執行的時段等條件,加以調整OIT的政策設定。在舊版的OIT中,假如遇到公司人員異動時,出現沒有套用AD目錄群組屬性的部分,管理者就必須逐一修改政策裡的使用者名單。

而在新版的OIT的設定頁面中,多了以往所沒有的群組功能,OIT稱之為清單(List),在這個設定選項裡,我們可以指定各種使用者身分的群組,例如,一般使用者、特權帳號、高階主管、開發人員、外部廠商等,而在預設的群組項目中,還內建了像是即將離職的員工,以及待觀察的使用者等。

我們在清單指定完成之後,若要將某個OIT政策,套用到符合某個屬性的使用者,就只要設定為該群組即可,而群組中的成員變更,則是在清單功能修改,便能套用到適用於這個群組的所有政策。

有了這項新的機制,不只各種類型的使用者能以群組歸類,這裡也可建立其他的群組,像是公司禁止使用的應用程式黑名單、遠端登入的軟體,或是具公司機敏資料的伺服器等,便能減少後續調整政策所需的步驟。

透過建立群組簡化設定政策步驟

對於特定的使用者、網域等屬性,管理者可先設定OIT的群組清單,就能在設定政策時快速套用,以圖中的清單項目來說,可將使用者歸類出高階主管、特權帳號、資料庫管理員等群組。

可進階阻擋異常行為

此外,在OIT政策的功能上,原廠也新增了較為強硬的措施,在已有的警告視窗和封鎖訊息之外,首度包含了強制登出遠端電腦,以及關閉應用程式等2種做法。

我們在測試環境的端點電腦中,提升普通使用者帳號的權限後,打算控制另一臺測試環境中的網域伺服器,由於OIT發現使用者自行修改帳號的權限,我們看到OIT代理程式彈出訊息視窗,告知違反公司規定,便被強制登出遠端的網域伺服器。

能直接封鎖使用者異常行為

以往在發現使用者執行疑似異常的操作時,先前版本的OIT要求填寫緣由的方式處置,再予以放行,而新版本OIT則增加了能一併強制登出使用者,或是關閉應用程式的機制。

依據不同使用者屬性進行風險評估

在OIT的政策中,可根據員工的群組,加以標示事件發生後風險層級的高低,以圖中複製機敏資料夾的警示政策而言,若是疑似受到攻擊的使用者,他們執行相關操作所帶來的風險,就比其他員工來得高出許多。

 產品資訊 

ObserveIT 7.1

●代理商:漢領國際(02)2709-6983

●建議售價:廠商未提供

●伺服器端系統需求:8核心處理器、16GB記憶體、80GB硬碟空間,並執行Windows Server 2008 R2以上作業系統

●資料庫伺服器平臺:SQL Server 2008~2016

●監控作業系統平臺:Windows、Linux、macOS

●端點代理程式硬體需求:2.4 GHz處理器、2GB記憶體(macOS需4GB)、1GB儲存空間

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容