Forcepoint(原Websense)- Insider Threat / FIT
“為消弭內部人員造成的威脅,您需要有效機制以察覺這些威脅的發生與情境。”
依據調查,當前的資安事件的發生,多數是內部員工有意或無意所造成。因此當前資安的風險已經由單純外部攻擊轉向利用內部人員來達成滲透。因此組織與企業可以考慮透過佈署 Insider Threat機制,來利用新的科技以抓取必要的使用者行為資訊,並進行自動化的威脅分析,將威脅發生時的事前、事中、事後的情境還原出來。不管這些使用者是不小心的、缺乏警覺的,還是有惡意意圖的,期望在大規模事件威脅發生前即能夠加以偵測並進行防範。
DATA CAPTURE 資料擷取
Forcepoint Insider Threat 採用輕量化的端點Agent程式,在不干擾使用者生產力的前提下進行資料的擷取。系統會監控資料使用時的位置與移動,以及該使用者對於資料的存取、異動與傳遞之動作與行為。系統並且能警覺是否有遭受入侵的各種跡象,並予以警示。系統具備對敏感資料與智慧財產進行內容指紋學習,並且自動化追蹤這些資料資產的使用情況。
收集的這些行為資料,可以透過影片播放的方式進行檢視。並同步檢視當時的鍵盤按鍵輸入、滑鼠指標移動、文件開啟、網頁瀏覽等行為。這些資訊都可以作為使用者所作行為無法否認的證據力。
BEHAVIORAL AUDIT 行為式稽核
該產品已經在多個政府單位與財經100的企業中,佈署超過百萬台端點並進行保護的長期經驗。這表示我們確切的知曉各種內部威脅的型態。我們將這些理解到的知識,轉化為知識庫,透過內建的監控政策範本,寫入到產品中,以便客戶可以快速的建立內部威脅防禦計畫。
我們的技術也會透過監控期間,持續建立正常行為的Baseline基準。並且據此分析出行為有差異的內部人員,並自動化歸類誰是有高風險的使用者族群。系統並能自動化的將這些關聯資訊,以直覺並視覺化的方式透過儀表板介面呈現,讓即使非技術人員也能清晰易懂。
FOCUSED INVESTIGATION 聚焦於調查的功能
當偵測到明顯的違規事件,您可以聚焦於該事件或使用者進行一系列的調查。Forcepoint Insider Threat會提供所有必要的細節與解析,並提供事件的各種情境資訊,讓您的團隊可立即評估該事件的威脅嚴重性,進而透過政策的設定以快速消弭威脅,並避免再度發生。
Forcepoint Insider Threat 可以提供下列一般方案無法偵測到的狀況:
- 針對智慧財產竊取、舞弊、刻意破壞…等惡意行為進行偵測,這些經常是傳統訪間資料外洩方案無法識別的行為。
- 移動使用者或內部人員,會嘗試將自己離線,或使用這種加密方式以規避偵測。
- 利用複雜的應用程式的可疑使用者行為,包括電子郵件程式或自行安裝Enterprise Risk Management (ERM)與其他程式。
- 提供”領先指標”方式的行為偵測,例如當使用者嘗試抓取螢幕畫面(Screen Capture) 並且馬上將畫面儲存到USB隨身碟。
BENEFITS 預期效益
- 追蹤端點使用者行為與系統的各種活動。
- 將整體組織正常活動行為進行自動化學習以建立Baseline基準。
- 透過使用者行為分析(user behavior analytics),將風險量化並加以呈現。
- 提供事件的重播呈現,包刮於端點進行的全事件畫面操作錄影能力。
- 偵測藉由加密來規避檢查政策的活動,不管是藉由Web流量,還是 Email 或夾帶檔案。
- 降低傳統您的人員需要仰賴技術上的專業才能完成調查的作業。
- 當有非故意的情況下造成的資料外洩,可以據此進行資安意識的宣導,以消弭該類風險。
- 可以與Forcepoint的資料外洩防護方案進行無縫的緊密整合。以提升DLP能力。
- 即使離線的使用者也持續不間斷的實施監控的能力。
- 高穩定性、成熟技術的端點,可以滿足規模性的擴充佈署。