[Forcepoint數位時代採訪] 不只防駭客，還能揪內賊，企業做資安防禦都靠它

無論是企業內部資安、還是物聯網資安防禦，近來不少資安廠商不約而同提到「使用者與實體設備行為分析」（User and Entity Behavior Analytics，UEBA）這個概念。網路安全供應商Forcepoint也預估，2018年將有更多資安長（CISO）會將導入UEBA作為優先項目，但UEBA和傳統的資安防護解決方案有何不同？

什麼是UEBA？

UEBA一詞最早由市場研究機構Gartner在2015年提出，強調以使用者為核心，分析其與電腦、應用程式與網路等「實體」之間的關聯性，透過機器學習判斷正常行為的標準範圍，可以更有效率且精準地找出異常行為。

「資安不只是建城牆，需要的是使用者為中心的安全防護。」Forcepoint北亞區技術總監莊添發解釋，過去的資安防禦機制，多是分析防毒軟體、入侵防禦系統（IPS）的日誌和紀錄，只處理單一的資安事件，但UEBA則是可串連人或裝置在不同時間的行為模式，再用機器學習分辨出哪些屬於高風險行為、哪些是正常業務流程。 透過UEBA也解決了以下三件事：

篩選出真正的高風險行為、降低警告次數

莊添發說明，雖然企業過去有資料外洩防護系統（DLP），但若單純以資料為中心，需要很多單位處理這些資料、要投入調查的人力也很多，因此藉由UEBA把所有行為關聯起來，如開始看求職網站、編輯履歷表、電腦多了很多加密程式、曾試圖把資安防護軟體關掉等，綜合評分後便能找出真正高風險的人。

Forcepoint北亞區技術總監莊添發認為，資安不只是建城牆，而是需要以使用者為中心的安全防護。

串聯門禁系統，揪出企業內賊

「內賊是最難防禦的，」莊添發說明，目前已有很多安全防禦機制能夠偵測和阻擋駭客使用的惡意工具，但內賊用的是公司IP環境，是合法授權使用的管道和設備，很難防禦，因此過去只分析網路流量、封包、攻擊模式，對企業防內賊是沒幫助的。

莊添發舉例，過去曾遇過企業有機密文件外流，但當事人可能會說這件事是駭客做的、電腦被入侵，不過他們以使用者行為為核心，將資安事件和門禁系統串在一起，找出這個人是否曾在詭異的時間進公司、存取哪些資料、透過什麼管道傳出去等，就能知道當事人是不小心違規、電腦被駭客入侵或是惡意將資料外流。

以上內容節錄自數位時代官網文章：https://www.bnext.com.tw/article/47484/ueba-cyber-security-forcepoint-aruba