近年,網路安全大廠Forcepoint動作頻頻,像是去年新增了兩條新產品線,分別是Forcepoint CASB(併購自Skyfence),以及Forcepoint UEBA(併購自RedOwl),在今年4月初舉行的RSA 2018會議上,他們又正式對外發表了Human Point System防禦平臺,進而提出他們在2018年資安防護的新作法。

近日,於臺灣舉辦的亞太區合作夥伴大會中,Forcepoint也以此為主軸,並進一步說明此概念。他們強調,這是以人為中心的行為分析,並將重點放在行為的意圖上,而在防護作法方面,他們也對應發展出,可依風險自動調整政策的新型解決方案,名為動態資料保護(Dynamic Data Protection),可提供一個更進化的DLP防護策略。事實上,在今年3月的臺灣資安大會上,Forcepoint也已經預告了這項新技術。

以Forcepoint的資安產品發展而言,這個品牌成立約兩年多,主要產品線是以原本Websense的網頁安全閘道、郵件安全閘道與DLP產品,以及Raytheon網路安全產品為主軸。

對應現有IT網路環境的威脅變化,後續他們則是透過併購方式,從Intel Security,取得Stonesoft次世代防火牆產品,加上先前提到的CASB與UEBA產品,建立起更全面的資安防護網。

儘管如此,鑑於現有企業IT環境的資安防護邊界,正逐漸變得模糊,人為因素引發的安全問題,近年備受重視。傳統的網路監控措施,成效可能不如預期,即便像是現在的資安防護,已經假設威脅發生在企業內部,但對於內部間諜仍無法有效的即時防護。

因此,Forcepoint這次提出的Human Point System防禦平臺,試圖將安全防護提升至另一層面。從過去針對威脅事件本身,到轉變為關注使用者行為,發展至今,更是聚焦在掌握行為的意圖。

看起來,Forcepoint打算將行為與意圖,視為現階段網路資安的核心,期望跟上急速變化的網路威脅環境,並藉此提供相應的防護措施。

Forcepoint串連旗下安全產品,提出可依使用者風險動態保護的新型解決方案

在資安防護上,過往聚焦在威脅事件本身,近年許多資安業者開始延伸至關注使用者行為,現在,Forcepoint主打的Human Point System,更是從了解使用者行為的意圖著手,統合旗下網路安全產的資訊分析,像是網頁/電子郵件安全、次世代防火牆,以及DLP、UEBA、CASB與Data Guard等,並提出了可依風險自動調整的新策略。

提出以人為中心的行為分析,並推出動態資料保護解決方案

相較於傳統的資安策略,多半是藉由預先設定的DLP政策,在事發當下阻擋已知的惡意威脅,或是允許的合法行為。但這種二分法,容易遇到一些問題,像是非結構性的資料不易處理,還有許多行為,無法直接判定是好是壞。

而在Human Point System防禦平臺中,Forcepoint將焦點放在了解人與資料的互動過程,透過員工行為的模式,以及資料的流向,進一步從使用者行為的意圖著手,來強化現有的防禦體系。

更具體地說,他們的目標是要建立以「人」為中心的風險分析防護架構,幫助企業快速找出高風險因子,以保護企業的重要資訊資產與營業秘密。

特別的是,Human Point System防禦平臺的出現,提供了一個依風險等級、自動調整政策的防護方案,也就是他們所謂的動態資料保護機制。

簡單而言,系統將可持續衡量每個使用者的風險等級,一旦風險等級提高,將能自動調整至相應的安全政策,進而在更大風險發生之前,做出更即時的反應。反過來說,這種動態的防護措施,也是需要仰賴風險指數來協助判斷。

基本上,Human Point System將串連起Forcepoint旗下所有產品,透過平臺收集到的各層面資訊,像是從網路防禦、資料內容分析,以及本地端或雲端發生的事件,再藉由機器學習、AI技術,透過Analytics引擎自動分析與關連,以理解資料在使用者、機器與帳戶之間的互動狀況,評量出每個使用者的風險指數。

據了解,在Forcepoint旗下的每個獨立產品,都能開啟Human Point Protection功能,也可透過共用的平臺,將所有的事件統合處理,並能配合企業現有的系統來整合。雖然他們並未細部解釋,如何將不同來源的資訊,與使用者身分串連,但也看出他們要讓旗下產品有更一致的管理策略,以及動態的防禦機制。

可持續評量每個使用者的風險指數

簡單來說,透過Human Point System防禦平臺,可將不同來源的資訊,透過分析引擎自動關連,以持續評量出每個使用者的風險指數。同時,在Risk Adaptive防護機制下,將能自動執行相應的安全管控政策。

可快速找出高風險用戶,並執行政策,提供更自動化的資料外洩防護

在動態資料保護上,Forcepoint也舉例說明其效果。例如,當一般使用者將敏感內容的文件,複製到USB磁碟時,將可依據DLP政策,執行加密。

在此架構下,細部管制的作法如何實施?系統若偵測到該使用者有其他不妥的行為,像是將敏感文件複製到本機,在系統持續評量風險下,該使用者將從低風險群組提升到中級風險群組,這時,使用者再將敏感文件製到USB磁碟時,就會套用較嚴格的DLP政策,像是加密之外,還可以搭配使用者畫面錄影機制,將前後15分鐘的操作錄製保存。

如果系統又偵測到,使用者將檔案上傳到外部的雲端檔案儲存服務時,這時評量出的使用者風險等級,將從中級升到高級,這時對應的DLP防護策略,可能就是將所有規則都設置為阻擋,讓該使用者無法透過所有管道傳出去。

因此,可在導致更大危機之前,彈性依風險調整員工的防護政策,做到主動防禦。而過往的DLP防護,就沒有如此彈性,多半僅仰賴既定的一種政策,或是管理者在事後以手動方式新增。

讓DLP管控更具彈性,可自動依個人風險套用政策

在動態資料保護上,可依風險分級、持續評量與動態調整的方式,做到更細緻的政策回應。管理者從Forcepoint Security Manager管理介面,可以看到這裡提供了五個風險等級項目,可分別設定不同的處置動作。

突破傳統作法的局限,讓防護政策趨於主動與靈活

綜合來看,以人為本的資訊安全策略,近年已有不少資安廠商都在強調。從Focepoint這次推出的Human Point System防禦平臺來看,更可說是從使用者風險角度出發,再透過Risk Adaptive機制,帶來更自動化的威脅預防作法。

其中的風險分級概念,就是關鍵。讓過往不容易判斷、具灰色地帶的操作,可以有量化的指標,讓系統能夠依此判斷,並套用相應的防護政策,進一步提升資料外洩防護的效果。

因此,相較於可將不同伺服器和設備的日誌和事件記錄集中的SIEM系統,Human Point System平臺多了主動防禦能力。對於沒有足夠人力分析處理這些資訊的企業而言,這樣的自動化功能應該有所幫助,而不用管理者一一介入。

當然,從關注使用者行為,到了解行為的意圖,也有資安廠商採取類似的發展策略。而以現階段而言,Focepoint這種以「人」為中心的風險分析防護策略,以及可以自動調整管控政策的機制,已經能讓現有的DLP防護,可以有不同以往的新作法。


Advertisement

更多 iThome相關內容