由於近年來企業內部資料外洩的情況時有所聞,而許多事件起因則是內部員工所為,例如3年前宏達電3位高階主管,竊取公司商業機密,想要藉此自立門戶的案例,以為神不知鬼不覺,差一點就成功。因此,內部使用者帳號的管理,近年來逐漸受到企業的重視。
強化內部威脅追蹤,納入使用者行為分析加以判斷
這類具有特權帳號管理(PAM)或是文件存取控管的工具,為了及早發現可疑行為,許多解決方案開始提供使用者行為分析(User Behavior Analytics,UBA)的選購模組。這類模組,藉由平時收集使用者的行為,逐漸取代原本PAM內建的辨識規則,以達到更精確、更及時的判斷。事實上,UBA並非全新的概念,以往企業經常在市場行銷上,使用這樣的分析工具,歸納客戶的喜好與消費習慣,不過,在資訊安全領域應用UBA,則是近年來出現的趨勢。
事實上,UBA近期甚至開始演變為使用者與實體設備(Entity)行為分析的UEBA(User and Entity Behavior Analytics),更加強調使用者行為與設備之間的關連。
有些特權帳號管理的解決方案,提出了情境識別的概念,比較具體的做法,例如像是PAM廠商BalaBit,他們就提出藉由偵測使用者的數位足跡,包含所在的地理位置,以及使用電腦的作業系統、螢幕解析度、滑鼠點擊行為等等,進行情境辨識,假如發現異常,必要時甚至可直接阻擋。
值得注意的是,在現有的資安內控解決方案之外,也有Splunk這種大數據分析工具加入戰局,這個軟體支援與旗下的UBA工具整合,藉由擴充軟體Splunk Enterprise Security,協助管理者追蹤企業內部資安的問題。
對於企業而言,以往來自外部的威脅,一直是防範的重點,但事實上,使用者的行為,其實也是值得探討,無論是前述提到的防範員工監守自盜,還是駭客實行APT攻擊後,取得高權限帳號控制權,終在系統之中,都是以合法的帳號執行有問題的操作。
因此,UBA機制並不單只是防內賊,也對於分析合法帳號是否並非擁有者本人使用,能夠進一步探討。
這種機制主要運用了機器學習,因此,它並不需要經由明確的程式定義學習範圍、不依賴已知的特徵與規則,並且具備分析數據背後的趨勢等優點。
內部權限控管仍需要持續落實
但企業想要以UBA增強內部資安管理,前提是已經實施使用者權限的管理,因此,對於企業而言,像是PAM或文件存取權限管理,是必要條件,而能夠達到這些權限控管,首先還是要回收與盤點這類高權限帳號。
不過,目前在臺灣,會重視這種內部控管機制的公司,多半以金融業為主,尤其是必須符合法規要求的前提,因而執行較為徹底。企業內部權限的控管其實相當重要,只是由於沒有法規強制要求,大部分的企業尚未執行,因此,臺灣企業對於這方面管理的意識,還要再提升。