FineArt News

使用者行為惡意活動通常更難被發現

為何需要監控員工電腦行為活動 ?

組織決定開始監控員工電腦行為活動,通常有兩個原因:

針對性反應調查:可能已經發生了一些不好的事情,或者懷疑發生了或即將發生一些不好的事情,組織有理由調查某人或一群人。第二個原因是預防準備措施,採取主動積極策略:組織尋求改善內部安全,抵禦內部威脅,提高生產力和效率;或兩者兼而有之。

所提之防護系統,均針對防止組織內部資訊外洩議題,然而監視用戶活動和行為可以使企業組織取得「額外」明顯的利益:

提升抵禦內部威脅的安全性

  • 偵測(Detection)是處理內部威脅時的第一必要工作,需要瞭解使用者活動,並檢測使用者行為中的異常情況
  • 應對內部威脅需要詳細的前後文相關活動資料,讓安全反應團隊可以更輕鬆有效分析這些資料

因下列理由而獲得生產力提升

  • 分辨出完成工作障礙的員工,以便提供有效的協助
  • 確定企業範圍內最大的"時間消耗"活動,追蹤改善遵循生產率的政策的情況
  • 能夠更有效提供事件調查佐證,降低收集相關證據的時間,減少對昂貴、專門取證工具的依賴,減少與調查相關工作的成本

安全和風險專業人員能夠體認到分析使用者行為和監視使用者活動的價值和好處。但有時,法律和人力資源人員在實施前會對監視員工這方面有不少疑慮。本文旨在説明相關議題,讓公司管理階層認知如何實施分析使用者行為和監視使用者活動。

 

User Activities Monitor使用者行為監視

用戶端使用者活動監視的目的,是在保護資訊的同時,確保可用性以及對安​​全法規的遵循。 UAM不僅僅是監視網路的活動,它還可以監視幾乎所有類型的活動,包括用戶端執行的所有系統、檔案、應用程序和網路操作。例如使用者的網頁瀏覽活動,用戶端是否正在存取未被授權的文件等等。

有多種手法可以實現監視和管理用戶端使用者活動,例如:

  • 使用者連線階段錄影 (包括影片與記錄)
  • 系統日誌收集與分析
  • 網路封包收集分析
  • 鍵盤按鍵記錄
  • 作業系統核心監控
  • 螢幕截圖
  • 檔案文件存取與操作
  • 電子郵件及即時訊息記錄


這些記錄活動必須依據公司管理政策,在用戶端使用者角色相對應的範圍內收集記錄,以確認是否有不當行為正在進行。構成“不當用戶端活動”的責任取決於部署UAM解決方案的政策內容,可能包括從使用者端點存取檔案或在工作時間內購物,到盜竊敏感的公司資訊(例如智慧財產權或財務、人事資訊)的任何內容。

這些系統在架構上會包括資料庫,以用來儲存端末電腦傳回的所有記錄與事件,甚至於實體的檔案備份。與一般電腦鑑識不同的是,即便進行事件調查時用戶端不在線上,或無法取的實體,仍然可以依據需求條件查詢並調閱相關記錄。

 

使用者行為分析與事件反應

任何等級的監視都可能會累積大量記錄。任何用戶端活動監控的目標,應該是偵測並過濾出對資料保護工作有關的訊息。通過有效的偵測流程,您可以立即調查可疑的用戶活動。您還可以找出用戶是否在使用公司網路或資源,將公司資訊上傳到公共雲端,利用未經授權的服務和應用程式,或從事任何其他類型的外洩風險活動。用戶端活動監視工具還有助於確保員工離開公司時,不會拿走公司的任何機密訊息。 

然而要從電腦的使用者活動記錄之中,立即分析出可能威脅;並採取措施,使系統對該事件合理反應或修正,確實是一件大工程。據2016 IEEE International Conference on Big Data (Big Data)期刊” User and Entity Behavior Analytics for Enterprise Security” 對於UEBA 保護企業資訊安全的研究,將PC 的通訊協定,如HTTP、DNS、SSL、FTP、NTP 等,記錄並且分析運算,可以有效地找出被攻陷(Compromised)的機器。通常分析正常行為或不正常行為,目標是機房的伺服器的話,成果會比較明確,連肉眼都看的出來。原因是伺服器因為 Server Role 通常是固定的,平常的活動比較規律,所以被攻陷比較容易被分析出來。然而一般使用者的電腦活動,就需要不斷的調整與校正,建立基準線等,比伺服器難多了;判斷使用者的異常,會需要長時間累積的資料,若有不同行為,也可能只是當時指派任務不同,而需忽略的不正常行為,在分析上更為困難。

 

結論 

儘管理想上期待能夠達成預防、預測,但因為人性的不可測特性,並非所有行為都可以被識別出,因此不可避免地要做些妥協。如果在即時狀況下,能夠偵測出一定的(事件)行為組合,分析其內容情境(context),就比較能夠區分出惡意行為。這些行為系統還會包含威脅計分模型,為用戶端行為評估其風險並評分,作為反應程度的依據;搭配審核流程設計,適度允許使用者,在安全監控的條件下例外處理(User Override)。如此可在不危及資安的前提下減低衝擊。從UAM加上UBA+EDR, 讓傳統的用戶端被動防護,向上升級成主動偵測反應,以面對新形態的內部威脅。