當各類訊息也大量被創造被閱讀,加速訊息利用的不對稱,這樣的不對稱關係展現在新的技術應用、創新服務、多樣新穎的工具。人的行為的制約與預測,會更甚以往的複雜。
我們把企業資訊安全連結在前述所提到的環境,想想組織中各種職務如何達成資訊安全管理的目標:滿足可用性、安全性與機密性呢? 企業組織中的MIS、IT、資安、稽核、營運管理主管,如何各司其職分層建立資訊安全保護的目標,是很有挑戰性的。
以一個將施行HTTP/3 (HTTP-over-QUIC)協定標準,首當其衝將讓原有資安設備的過濾分析產生技術過濾與分析難度,舉凡:網頁過濾、防毒系統、DLP產品…等,因為改變了兩端握手方式、伺服器憑證…等。進而產生原有防護機制失效或記錄缺損。
現況來說,已經讓MIS、IT、資安、稽核、營運管理主管更難管控屬於企業敏感訊息的流動。現在資訊安全就管理的很好嗎? 其實不然,因為員工使用技術累積的軌跡記錄,早就呈現爆炸的巨量狀態,軌跡行為分析需要更省心,才能個角色騰出手來,做到更多更細膩的風險識別。面對Insider Threat 「化被動防禦為主動偵測」是一帖良方。
快速發現內部異常風險活動
大家討論EDR都過聚焦在「外對內而外」防堵駭客的惡意行為偵測,卻忽略了Insider「內對外」的竊取所造成的損失傷害。總有人說Insider Threat是很難辨識發覺的,這樣的論述取決於負責的資安稽核角色,是否具備妥善的知識背景、行為分析與技術應用的能力,企業屬性及資安環境而定,畢竟不是所有的資安或稽核,可以如此的完美且強大。
有沒有更好的工具,來補強與加速內部異常活動便是分析,讓每月數百萬或近千萬筆員工軌跡記錄,在資安稽核打開「戰情平台」,或是在「郵件與Line簡訊」即時通知下,馬上了解企業面對哪些風險行為。
- 充足「記錄」被蒐集:以X-FORT來說就多達80幾類記錄,隨著客戶的需求與新功能發展還在持續增加中。
- 具備「識別風險」能力或工具,並且了解所處的組織產業的特性,才能建立起各個風險的過濾條件與分析方法。可是所累積的資料量這樣龐大,如果資安與稽核規模不夠大,更需有輔助且有彈性的工具,與專家所設計的基礎風險戰情,才能達成快速查找風險。想想如果戰情資料只是「量化」的呈現 (例如:某部門某員工一個月上網2000次),卻無法以「質化」的角度去解釋合理性 (例如:1990次是正常內網系統連結,10次連接到雲端儲存空間),或進一是在細緻化分門呈現風險,(例如:檢查發現10次雲端儲存上傳Post了公司機密資料),那風險就在指縫中流失掉了,而缺乏快速呈現查找,那位員工10筆風險記錄,可能就會全公司或是集團每月百萬筆記錄海給淹沒了。戰情不是美美的桌布,要有效快速呈現風險才是王道。
阻斷防止災害擴散
「有效快速呈現風險」對資安與稽核與經營管理者來說更揪心的是還不夠的,要馬上施行警示與回應對策,按照懲罰三大理論,第一次風險行為可以警示通知使用者,來讓惡意行為著達到心理層面制約的效果,第二次風險行為給予更明顯的通知,甚至通知到上層主管與資安稽核,第三次持續的惡意行為,直接阻斷禁止相關行為,這樣的設計,可以減輕資安稽核在忙碌情境下,有緩過氣的時間處理後續,更達到即時處理的效果;最後達成阻災的目的,就是端點防護EDR的有效目標。