在因應數位化世界迅速發展中,雲端、自動化、AI人工智慧正以過去數倍的速度在前進,相伴隨而來的便是各種資料的交流,資料以電子檔案的形式進行存儲與流動,因此檔案會有產生、刪除、移動、複製、更名、內容編輯等行為產生,而使用檔案的對象也會有產生者、閱讀者、協作者、使用者、未受權者各種不同的角色存在,而在上述情境的操作與人員對於檔案的使用適當性與行為軌跡,對企業與單位內的營業秘密、國家安全、個人資料等等的機敏資料,如何採取適當的管制與記錄追蹤則是相伴的重要議題,相應而來的各式法規認證要求如:個人資料保護法、資安法、營業秘密法、ISO 27001、CMMC、GDPR、TISAX…等,對於檔案的行為軌跡皆有對應的記錄要求,而X-FORT電子資料控管系統亦提供適當的解決方案,本篇則針對X-FORT在協助追蹤檔案流向的功能上進行說明。
將依檔案流出通道、過濾非必要的雜訊,以及如何進行記錄追蹤三個方向來進行說明。
記錄檔案操作的出口有哪些?
於X-FORT功能中我們可以將檔案傳出簡單的分類為二類管道,此二類可以先定義出檔案操作流動的方式,並就其行為來進行是否記錄與如何追蹤決策。
- 實體端:此為實體的儲存媒體與本機的操作行為,如:外接式儲存媒體,MTP裝置,列印,檔案操作記錄…等。
X-FORT模組功能 記錄說明 外接式儲存裝置控管(MTP) 記錄與備份防護端電腦寫出檔案至外接式儲存裝置之儲存媒體,記錄與備份透過MTP協定進行檔案傳出之行為記錄 列印控管 記錄與備份防護端電腦進行printing行為 操作記錄 防護端電腦進行之本機與網路檔案的新增、更名、移動、複製、刪除操作行為記錄 - 網路端:此為網路上的傳輸與存儲載體,透過網路方式將檔案傳送如:網芳寫出入記錄,網頁上傳,傳輸控管,郵件控管,流量監測…等。
X-FORT模組功能 記錄說明 共用資料夾寫出入記錄 防護端電腦於網芳上之檔案讀取、編輯、儲存之行為記錄 網頁上傳 透過網頁之上傳行為(例如:Gmail、Google Drive、Dropbox、OneDrive…等)記錄與備份 傳輸控管 己支援之即時通訊軟體進行檔案傳送之記錄與備份 郵件控管 Outlook與Webmail(限定)進行傳檔之記錄與備份 流量監測 防護端電腦之網路上傳與下載流量記錄
資安政策怎麼制定才不會記錄太多?
在對於檔案追蹤進行設定資安政策之前,首要的是先對於檔案的行為與類別進行分類,再針對分類來進行政策的規劃,用來減少過多的雜訊,雜訊除了會需要大量儲存空間,此外還可能增加稽核難度。但雜訊與否之定義,需由系統管理者進行制定,因此我們可以依行為類別以及過濾方式兩個項目來建議。
- 行為類別
系統操作 系統底層自動化背景處理之程式運作,如:system。 人為操作 人員實際有意識所進行之操作行為 如:上網頁、編輯檔案…等。 - 過濾方式
系統過濾 X-FORT可以進行過濾條件設定,過濾且不儲存非人為有意識所進行的檔案執行、程式執行、網路行為…等記錄,排除掉此類型記錄以保持資料的特定性與空間的有效利用。
例如:過濾system process報表過濾 為完整記錄下用戶端所有的運行記錄,故不進行系統的過濾排除條件,但仍可依W-Console資料中心>篩選條件管理,進行依目標記錄的條件設定(人、事、時、地、物…等多功能性邏輯組合)而呈現出明確的記錄與報表,可同時保留人與系統的運作歷程。 內容過濾 採正規表達式針對檔案內容進行過濾,在特定傳出行為(支援:外接儲存裝置、即時通訊軟體、Webmail、Outlook)檔案內容符合時能有記錄或更嚴格的控管機制。
如何稽核檔案操作?
稽核檔案操作的方式並沒有標準答案或方式,會依不同企業別、單位屬性乃至於重點觀測標的不同而有不同樣貌,但仍可以有一個從X-FORT產品角度所提供的建議與參考,透過X-FORT的W-Console UBA所提供的行為分析戰情表可以進行分析,針對不同單位與稽核所需的觀測點可以設定出對應報表,並可以彈性進行日期、時間、區間、部門、人員…等,來進行快速有效的稽核,以下提供情境範例進行說明與參考:
- 觀測點:檔案動作 > 網芳刪除特定類型檔案(數量、人員)。
- 觀測點:檔案名稱 > 特定檔案被使用方式與人員比例。
- 觀測點:操作人員部門適當性à檔案被不適當部門人員進行操作(例如:履歷表被非人資部門人員使用)。
- 觀測點:內容過濾 > 透過預先設定好的檔案內容判斷,觀測將含有相關內容檔案傳出之數量、比例與人員。
- 觀測點:流量異常透過網路流量監測檢視出不符合常態使用的上傳流量,並依時間點來回追當下的操作行為。