首頁 > 最新消息 >[Forcepoint數位時代採訪] 不只防駭客,還能揪內賊,企業做資安防禦都靠它

最新消息

2017-12-19

[Forcepoint數位時代採訪] 不只防駭客,還能揪內賊,企業做資安防禦都靠它


無論是企業內部資安、還是物聯網資安防禦,近來不少資安廠商不約而同提到「使用者與實體設備行為分析」(User and Entity Behavior Analytics,UEBA)這個概念。網路安全供應商Forcepoint也預估,2018年將有更多資安長(CISO)會將導入UEBA作為優先項目,但UEBA和傳統的資安防護解決方案有何不同?

什麼是UEBA?

UEBA一詞最早由市場研究機構Gartner在2015年提出,強調以使用者為核心,分析其與電腦、應用程式與網路等「實體」之間的關聯性,透過機器學習判斷正常行為的標準範圍,可以更有效率且精準地找出異常行為。

「資安不只是建城牆,需要的是使用者為中心的安全防護。」Forcepoint北亞區技術總監莊添發解釋,過去的資安防禦機制,多是分析防毒軟體、入侵防禦系統(IPS)的日誌和紀錄,只處理單一的資安事件,但UEBA則是可串連人或裝置在不同時間的行為模式,再用機器學習分辨出哪些屬於高風險行為、哪些是正常業務流程。 透過UEBA也解決了以下三件事:

篩選出真正的高風險行為、降低警告次數

莊添發說明,雖然企業過去有資料外洩防護系統(DLP),但若單純以資料為中心,需要很多單位處理這些資料、要投入調查的人力也很多,因此藉由UEBA把所有行為關聯起來,如開始看求職網站、編輯履歷表、電腦多了很多加密程式、曾試圖把資安防護軟體關掉等,綜合評分後便能找出真正高風險的人。

Forcepoint北亞區技術總監莊添發認為,資安不只是建城牆,而是需要以使用者為中心的安全防護。

串聯門禁系統,揪出企業內賊

「內賊是最難防禦的,」莊添發說明,目前已有很多安全防禦機制能夠偵測和阻擋駭客使用的惡意工具,但內賊用的是公司IP環境,是合法授權使用的管道和設備,很難防禦,因此過去只分析網路流量、封包、攻擊模式,對企業防內賊是沒幫助的。

莊添發舉例,過去曾遇過企業有機密文件外流,但當事人可能會說這件事是駭客做的、電腦被入侵,不過他們以使用者行為為核心,將資安事件和門禁系統串在一起,找出這個人是否曾在詭異的時間進公司、存取哪些資料、透過什麼管道傳出去等,就能知道當事人是不小心違規、電腦被駭客入侵或是惡意將資料外流。

以上內容節錄自數位時代官網文章:https://www.bnext.com.tw/article/47484/ueba-cyber-security-forcepoint-aruba

 

達友科技股份有限公司 版權所有 Copyright ©2015 Docutek Solutions , Inc.