網路行為稽核記錄器 實用與否細節裡見真章

隨著攻擊手法與IT應用的不斷改變,網路使用行為安全管理似乎是個永不退燒的議題。最新的例子就是多數上班族仰賴的即時通訊軟體MSN已被微軟整合到Skype,使得Skype的使用監控再度成為企業IT討論的一個話題。

至於網頁郵件方面,有些記錄器會把Web Mail直接當作一般的網頁瀏覽行為來處理,但新軟IDR則是透過內建的分析引擎,將Web Mail內容視為郵件來處理,而能夠在不同欄位中分別列示出寄件與收件者的姓名及其主旨等。「雖然兩者在點選後都能看到信件的內容,但差別在當郵件來處理記錄的話,如有事件發生時才能依照寄收件人或是郵件的主旨來進行搜尋,以方便稽核調閱之用。所以我們需要分析常見的Web Mail網站格式,而且當Web Mail改版時就要隨著更新,」程智偉進一步說明。

以「人」為核心呈現

同樣屬於直覺化呈現的指標就是以「使用者」為主軸的記錄模式。以往僅用IP或MAC位址來表示,都是以設備端為記錄標的,但是對老闆來說,更想知道是「誰」在上班時間頻繁地使用跟工作無關的網路服務而影響生產力,對此較常見的處理方式就是整合現有的Active Directory架構,來顯示員工的帳號名稱。

對於一些沒有建置Active Directory網域的中小企業,新軟IDR亦內建網路認證機制,讓員工在上網前都需要先通過IDR的認證,輸入帳號與密碼後才能連上網路,如此一來IDR就能依據該名員工登入的帳號名稱來做為記錄的依據。更進一步的是,其具備有如檔案總管般的樹狀結構設計,點選使用者名稱即可展開查看其使用的HTTP、SMTP等網路服務,除了可進一步查看瀏覽的頁面外,亦可計算該帳號所使用的各種網路服務與應用程式所耗用的頻寬,讓老闆得以即時了解網路使用的情況。

其他像是顧及員工個人隱私或部門機密外洩,需要按照不同部門別,來進行階層式管理設定;或是能事先制定稽核項目,由設備自動篩選內容並發送郵件給管理者;多國語言支援等機制,皆可說是現代化設備基礎該具備的項目。

記錄須易於保存調閱

當設備線上運作一段時間後,Web、電子郵件、即時通訊等各種記錄都會被保留在該設備硬碟中,通常是以先進先出的原則來進行留存,但程智偉提醒,有些記錄像是網頁快照,容量雖大但重要性較低;相反的,郵件和即時通訊的記錄容量不大但卻相對重要。所以若採用先進先出的方式保存記錄,可能發生重要性較高的郵件、即時通訊記錄被覆蓋的窘境。因此除了先進先出外,新軟IDR還能再針對不同種類的記錄自訂個別的保存期限,讓不同記錄皆能符合實際應用環境所需的保存時間。


▲利基網路的InstantScan上網行為管理與側錄器,不僅記錄使用者瀏覽網頁行為,還能進一步判斷是否為實際點擊瀏覽,或只是廣告等網頁自動載入的URL。(資料來源:利基網路)

但若是記錄檔皆需要有較長保留期,設備內的硬碟容量恐怕會用盡,或為了法規需求而要更長期間的留存記錄,此時就需要搭配異地備份來協助。關於備份機制,程智偉建議最佳作法是採用NAS遠端儲存,若是燒錄成光碟或外接式硬碟存放,不僅保存不易,日後需調閱資料時也會相當麻煩,即使保留完整的記錄檔,卻無法在需要的第一時間得以調閱,就失去了記錄本身的意義了。

此外,網路行為記錄監控要能夠跟得上員工使用網路行為的變化,才能發揮其效益。對此魏煥雲提醒,設備廠商對產品未來的發展更新,同樣必須納入導入評估項目,像是支援目前使用人數直線攀升的即時通訊LINE,或是提供App介面讓管理者可透過行動裝置來隨時掌握員工上網情況等,都可成為產品加分的附加價值之一。

不論是網路記錄器或上網行為管理工具,其真正的價值都不僅是單純的網路行為記錄,而是需要透過資料的分析,來將側錄到的封包內容整理成為管理者易於了解的形式,以真實反映出使用者實際應用網路的行為,才能達到上網行為管理與稽核存證的目的。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!