UEBA洞燭風險 防洩密於未然
攻擊者在論壇上販售竊取的機敏資料,已是常見變現的手法。例如銓敘部日前揭露的公務人員個資外洩案,以及本土知名人力銀行的20萬筆求職者個資,皆為多年前防護措施較薄弱時所外流,如今則先後在地下論壇出現販售。實際上,機敏資料的市場價格愈高,自然吸引愈多攻擊者覬覦,有時可能僅須基於已知的漏洞,以慣用的攻擊工具即可滲透成功,進而橫向移動直到完成資料的竊取。
攻擊活動之所以成功,關鍵未必是技術能力精良,足以繞過各種技術的偵測機制,而是駭客利用合法程式來執行,或是盜取合法帳號,以完全正常存取的方式達到竊取目的。為了建立即時辨識的能力,資安廠商紛紛應用機器學習演算人與機器的正常行為資料模型(UBA/UEBA),從細微的徵兆中判斷異常,並整合既有的資料外洩防護(DLP)機制實強制施控管政策,例如發現異常時執行連網裝置隔離、阻斷存取行為等回應措施,以免釀成內部威脅事件。