成立迄今已超過三十年的精品科技,自主研發主從式架構的X-FORT系列端點資安防護解決方案,確保桌機、筆電、伺服器運行環境免於遭受惡意程式橫向擴散感染,主動式反應處理高風險特徵行為,以防機敏資料遭竊取。
精品科技專案經理陳育徽指出,精品科技初期研發X-FORT系列方案主要是IC設計客戶對於資料外洩防護需求殷切所驅動,藉由工具協助防範有心人士利用終端裝置外接連接埠攜帶機敏資料離開。此後因日本在2005年正式實施個人資料保護法,客戶要求精品科技針對法規內容設計端點防護方案,而隨之擴大了資料外洩防護(DLP)的應用範疇,X-FORT的中央控管伺服器端得以設定角色,讓系統管理者、稽核、資安人員等,擁有各自權限執行工作任務,端點安裝的代理程式可強制套用防護政策,不論員工在何處辦公,控管政策不會受到環境變更影響效果。
整合雲端服務擴展應用場景資料防護
企業過去投資部署的次世代防火牆、入侵偵測系統、郵件安全、沙箱技術等方案,或許可做到讓遠端工作者先透過VPN連線回到公司內網,通過這些閘道端資安設備的安全性驗證後,才允許連線網際網路服務,但家用設備卻往往因為等級、防護機制未達到企業級驗證要求而無法通行。
對此,X-FORT設計了混合辦公方案,陳育徽說明,企業無法限制遠端工作者採用的裝置,至少可在連線進入內網存取資源時,讓發起請求者皆透過「跳板」執行操作,運用桌面虛擬化機制部署控制點,只要員工建立連線即可開始記錄與控制,即使不採用公務配發裝置,也可藉此掌握操作行為,降低衍生的風險性。
他進一步提及,原本資料外洩防護功能是辨識出資料內容,防止未經授權存取或使用機敏資料,例如偵測資料內容的條件設定發現身分證號,或者符合信用卡號編碼規則,立即套用禁止另存新檔、下載的措施。
問題是此作法未必能夠確實執行,典型案例為壽險業,工作流程接觸到的資料內容全數皆屬於個人資料管理範疇,但電腦設備皆屬於業務員私人財產,無法強制要求安裝代理程式接受公司控管,因此這類情況應著重在文件本身,讓使用機敏資料期間具備防範外洩機制。若基於雲端服務來部署控管措施,則可在任何地點執行驗證,並且授予最低權限使用機敏資料,例如搭配微軟企業資料防護服務(Azure Information Protection)輔助建立認證、限制下載等操作,更符合現代應用場景。
依據情境判斷動態調整主動控制
討論資料外洩防護,多數著重於內容感知技術來運行機敏性偵測、辨識、分類,陳育徽觀察,另一股趨勢是Context(上下文)解析變得更加重要。他說明,Context意指來源、時機、情境,例如員工在上班時間發起連線存取請求,地點顯示為歐洲,根據該用戶的使用常態,從未在歐洲執行操作,隨即判斷該連線為異常。資料外洩防護措施須依照Context解析判讀執行回應動作。
常見的控管案例是追蹤檔案寫入儲存到隨身碟的同時亦須判讀資料內容,使用者可能是從公司內部網站下載,政策規定不得攜帶離開公司,若資料外洩防護偵測到檔案被儲存到隨身碟、郵件附加檔案,違反政策規範隨即予以阻止與警告。
陳育徽強調,須釐清的是Context解析機制與近年來經常被提及的使用者行為分析(UBA或UEBA)不同,使用者行為分析著重於解析Syslog與網路封包深度解析取得的資料,必須在連線請求發起後才得以蒐集分析,資料外洩防護設計的使用者行為分析,屬於應用層範疇,並非為系統日誌、網路封包解析後關聯分析組成的資訊,而是可直接明確地指出用戶帳號、存取檔案名稱、操作的行為,依據情境判斷動態調整政策,執行主動控制。
保存人事時地物關聯資訊證據力
面對近來討論聲量攀高的混合工作模式趨勢,儘管台灣疫情始終在可控制範圍,業主未必願意全數開放員工居家辦公,但資料控管政策與防護機制仍有更具彈性的必要,以便隨時應變外部不確定因素導致工作模式被迫調整,讓員工無論在任何地點工作,皆可防範機敏資料外流,運用自動觸發立即回應、強迫使用者登出等手段,減少IT人員介入安全維運的負擔。
他以實際導入部署精品科技方案的客戶舉例,該公司全體員工不到20人,特點是未配置專屬IT人力,由管理部門主管兼職擔任。採購資安產品對這類型公司而言費用相當高,不容易下手,除非本身是所謂產業「隱形冠軍」或是在同行中極具獨特性的產品,一旦原稿或設計圖外流的損失較大,才願意導入部署資料保護方案。
陳育徽觀察,實際上台灣企業97%為中小型,員工人數大多不超過200人,這類型企業對於資料保護需求,更多是源自於法規遵循,而非避免資料外洩。尤其是牽涉到個資內容勢必得增添保護措施,產業主管機關也有提出相關規範須遵循,萬一爆發資安事件,業主才有證據澄清已善盡保管責任。
針對防疫需求被迫須遠端工作者,無法即時蒐集使用行為資料,萬一發生資安疑慮,只能事後調閱日誌記錄,此時經常遭遇的狀況是員工遠距辦公使用私人筆電或桌機,大多為Windows作業系統環境,內建的日誌預設為關閉狀態,無法支援後續的事件調查。精品科技X-FORT方案,除了防範資料外洩因此持續不斷地記錄使用者操作行為,另一個受關注的機制即是保存證據效力,避免員工不當的機敏資料存取行為損害營運,其代理程式可完整地蒐集並保存法律認可的證據,在關鍵時刻用以降低營運風險。
此外,製造業核心命脈的營業秘密或者智慧財產,陳育徽指出,近幾年來自上下游供應鏈須遵循行業規範愈來愈多,且較以往更加嚴格,也是驅動資料外洩防護方案導入部署需求增長的因素之一,藉此彙整人事時地物關聯資訊,以便於後續稽核。陳育徽強調,對於端點代理程式而言,事件的來龍去脈皆屬於相同來源,統一控管平台即可調閱,更具完整證據效力。
來源:洪羿漣 / 網管人 / 2022-03-31
https://www.netadmin.com.tw/netadmin/zh-tw/trend/565636A303DF485C8E2CCF9DC88AF3CA