隨著雲端服務、人工智慧與高速連網普及,企業的資安威脅風險與日俱增,資料外洩手法層出不窮,加上新興勒索軟體威脅,再再都為企業資安管理者帶來更多負擔。
凡走過必留下痕跡,管理者銜命稽核、分析員工的網路記錄時,像是[網址連結記錄]、[WebPost上傳行為]、[使用者網頁瀏覽記錄]等網路活動是否出現異常行為,然而在分析外部網路活動時,有些值得注意的是:
Insider與Hacker外部連線有何不同?
Insider內部人員的外部連線,通常是生活上常用的知名、入口網站,國內型網站及雲端服務為多,產生的網路流量,也多在上班時間,有登入本機才有網路連線活動。
Hacker的外部連線則不同,通常連線目的之所在國家、區域大有不同,且具備一定程度規律行為模式,如定期、定點向特定目標,以特定連接埠傳送,也可能是多台內部電腦經惡意程式感染後,統一回報至相同的主機,而產生網路流量的時段,亦常發生在下班時間或規律的連線,甚至可能未登入仍有網路連線活動。
而系統查出的制式報表,呈現的海量數據如網址、IP,急需快速區分:
- 連線區域、國家,無法立即區分;
- 網路連線時間,無法彈性區分;
- 使用CMD操作駭客常用指令連線,難有記錄和警示;
- 透過儀表板呈現上述數據
X-FORT W-Console對應上述需求。(支援版本&模組請洽詢精品科技
- 國家名稱可正確顯示
讓管理者能更快速的區分異常連線的對象,有利風險控管。 - 自訂的【時間條件】來篩選記錄
日曆功能,可進一步過濾符合條件,以各種時段來篩選,讓可疑記錄能快速呈現。 - CMD and PowerShell指令的執行記錄及警示
只要在上述兩款軟體執行高風險命令(可自建資料),即可記錄與警示。
運籌策帷幄中,決勝千里外,快的能打敗慢的
要有效因應資安威脅的發生,整體而言,管理者對於事前的預防、事中的察覺、事後的處理,都必須具備足夠的能力,而持續產生資安動能,不能單靠企業本身的自律,需要更多外部管控的工具力量。