結合Websense、Stonesoft、Raytheon(雷神)產品技術新成立的Forcepoint,正逐步將DLP防禦能力擴展至現代企業常見的雲端與行動端點應用模式。
Forcepoint北亞區技術總監莊添發觀察,雲端應用模式正日漸普及,例如在台灣常見的作法是把Exchange系統先遷移到公有雲平台,同時採用Office 365雲端服務編輯文件,並直接把檔案儲存在OneDrive。既然郵件系統、文件應用軟體皆已改為雲端服務,DLP方案自然得跟上,因此Forcepoint亦提供Azure平台的TRITON AP-Email,為Exchange Online建立安全管控;Office 365與OneDrive的應用,則透過TRITON AP-Data,自動Discover雲端儲存空間存放的檔案,以免機敏資料被有意或無意地存放在外部公有雲。
經整併後的Forcepoint,還可進一步運用原本於雷神旗下的SureView Insider Threat,擁有記錄使用者行為資料的能力,再透過SureView Analytics執行日誌資料分析,找出高風險的用戶,則可讓保護能力更加提升。「一旦資安事件發生,欲詳加調查事件發生的來龍去脈,需要專業人力介入執行,即可搭配SureView Analytics資料分析技術,彙整Log後執行分析,先找到高風險用戶,縮小可疑的範圍。」莊添發說。目前可定期執行掃描公有雲平台的儲存服務,除了支援OneDrive,亦包含Box、Salesforce.com、Google Apps。但若為企業自建的私有雲平台,則可透過Forcepoint開放的API相互整合,當資料要傳送到雲端平台時,會先送到DLP引擎執行資料分析,即可產出反饋,判斷是否允許傳送。
至於APT威脅,勢必需要搭配TRITON AP-Endpoint一併偵測。因為當駭客滲透入侵成功後,最後勢必會設法將盜取的資料傳遞回中繼站,此惡意連線行為可被流量檢查技術發現,並且阻斷。對此,即將推出的AP-Endpoint新版中則增加了應用程式分析機制,可自動攔阻未知加密格式、未知傳送資料等行為。入侵者在滲透成功後,若採以客製化惡意程式執行擴散等動作,經過端點代理程式分析後發現該執行程式從未見過,將立即阻擋該行為,以免遭受APT攻擊不自知。
莊添發說明,資安事件發生後,專業人力調查與分析需要一段時間,且資料也已外洩,即使經過調查後針對該起攻擊行為撰寫了新規則,下次也未必會再出現,因此企業仍須在事前盡可能預防,可透過內容感知偵測與使用者行為情境分析機制,來協助APT防禦。