當現代企業開始朝向數位化轉型邁進,運用現代科技的力量創造新形態應用模式的同時,也必須重新檢視伴隨而來的資安風險。Gartner提出持續自適應風險與信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA),指出數位化營運業務開展之前,必須要掌握應用情境、持續進行監看與評估風險、運用自動化流程即時回應等方向,才能在資料外洩事故發生前、竊取者還在嘗試找到迴避偵測方法的階段,就搶先一步發現。
當現代企業開始朝向數位化轉型邁進,運用現代科技的力量創造新形態應用模式的同時,也必須重新檢視伴隨而來的資安風險。Forcepoint技術顧問陳志遠指出,Gartner提出持續自適應風險與信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA)的要項,正逐漸成為資料保護發展的指導原則。
要做到Gartner提出的持續自適應風險與信任評估,必須要掌握應用情境、持續進行監看與評估風險、運用自動化流程即時回應等方向,並且是在數位化營運業務開展之前應具備的能力。問題是,資安技術通常是一次性防護機制,當下只有阻斷的執行能力,無法得知整體行為模式,也就難以深入判斷究竟是高風險使用者、新進員工不熟悉資安政策、還是電腦已遭滲透,勢必得要有輔助判斷的方法,才有機會在資料外洩事故發生前、竊取者還在嘗試找到迴避偵測方法的階段,就搶先一步發現。
「Forcepoint完整蒐集來自Insider Threat(內部威脅)蒐集器、DLP(資料外洩防護)、CASB(雲端存取安全代理)、NGFW(次世代防火牆)等不同資安技術產生的資料,餵入分析引擎,再根據運算結果的風險數值,自動調整執行回應的方式,也就是動態資料保護(Dynamic Data Protection)技術,發展理念與CARTA可說不謀而合。」陳志遠表示。
雲端應用逐漸興起風險可控亟待解決
在資訊科技架構持續演進的推展下,過去企業探討的是實體伺服器轉換為虛擬化,如今關注的焦點則是地端應用系統遷移上雲或直接採用雲端服務。McAfee北亞區解決方案架構師沈志明觀察,即使台灣發展的腳步較慢,但是雲端應用同樣是逐年增長,而且通常是單行道,應用上雲或直接採用雲端服務模式,就無法再回頭了。或許跟國際企業相比,台灣的腳步稍微落後,所幸主管機關已經開始願意嘗試,一旦封印解除,需求極可能會如雨後春筍般湧現。
也因此,該如何把防護體系延伸到雲端平台,同時能控制風險,已成為當代企業必須面對的重要課題。陳志遠以Forcepoint舉例,可協助企業在各個不同數位轉型階段,採取不同資安防護的策略與深度,像是早期使用者可能建置NGFW、網頁安全閘道器、入侵威脅防禦就足夠因應資料保護,但隨著採用雲端服務應用的數量增多,甚至發展到全雲端,安全策略也必須有所轉變,得基於Zero Trust、CARTA、Human-Centric等原則重新規畫執行政策。
「事實上數位轉型這件事已經探討超過十年,腳步從來沒有停過。從最早期的E化,演進到實體轉虛擬化,現代則是要從地端轉型到雲端,皆為數位轉型具體的實踐,每個階段代表的意義與達到的目標完全不同。」陳志遠說。
採用雲端服務產生的風險較以往企業資安認知完全不同,他進一步說明,雲端運算的IaaS、PaaS、SaaS三種不同應用模式,對應到企業IT基礎架構,若採用的是IaaS,企業可控範圍僅為作業系統層以上的中介軟體、Runtime、檔案、應用程式;若採用PaaS,則可控範圍只剩下檔案、應用程式;SaaS則是完全無法控管。
雲端服務讓企業趨之若鶩的誘因,主要是為了省去重複性質高的維運工作,但是也因此衍生出新的問題,應該要擔負的責任,不會因為遷移上雲端平台之後就可卸下,在可控程度較地端更低的情況下,仍舊必須維持營運業務的風險管理能力,過程中還要同時維護地端與雲端的可用性、可管理性、安全性,這是企業現在最大的難題。
DLP控管政策同步上雲執行防護
儘管遷移上雲會衍生新的風險,企業仍願意逐年增加採用的數量,主要因素,多數是基於管理成本考量,無須經過冗長的採購與建置階段,直接登入網站點選訂閱資源即可完成,日後的擴充更是便利,只要增加訂閱數量,無需停機立即可用。
針對資料外洩風險控管,以往地端部署建置的DLP防護體系,隨著資安市場上開始出現新創公司推出CASB以保護雲端平台上的檔案,近幾年開始出現整併潮,例如Forcepoint併購Skyfence、McAfee併購Skyhigh、Cisco併購CloudLock、微軟併購Adallom等。如今地端與雲端的資料保護政策已可相互整合,以Forcepoint與McAfee來看,用戶不僅在地端可沿用既有的DLP保護機敏資料,亦可透過單一控管平台延伸至雲端,讓兩端可基於相同控管政策防範資料外洩。
耗時費力制定的DLP控管政策,可同步應用到雲端平台,對企業而言相當有幫助。DLP之所以受歡迎,控管政策的制定模式相當有效率,可說是其中一項重要因素,畢竟企業工作流程差異相當大,即便是相同產業也有各自控管方式,勢必得投入時間協同各個業務部門,共同制定出合適的政策。
陳志遠強調,「所幸我們擁有業界最完整的政策樣本,例如GDPR因應策略,可先行取得全球相同產業的實作方法,以此為基礎建立防護措施,控管政策已可達到八成完備,剩下的二成,再基於各家企業營運業務的差異進行調整,即可大幅降低部署的複雜度。」
解讀行為資訊建構合適控管措施
為了更清楚地釐清使用者行為的意圖,以辨別善意或惡意,愈來愈多解決方案開始採納機器學習演算技術來輔助防範資料外洩,也就是UEBA(使用者與實體設備行為分析)技術,藉由技術供應商事先訓練完成的演算模型分析大數據,以科學化存取行為的風險值來評估安全等級,進而協同其他回應機制執行阻斷、隔離等動作。
欲探查使用者行為的意圖,演算分析資料模型亦須包含人力資源系統的績效指標數據。畢竟員工的績效數字突然間下滑,可能的原因相當多,例如準備離職等狀況。
陳志遠說明,Forcepoint旗下的X-Labs研究部門的科學家,來自心理學、行為學等領域專家,之所以納入非IT相關領域的專業人士,主要思維即在於落實以人為核心,必須要有更多的資料輔助才得以理解真正的意圖。當然,資料來源並非僅限於Forcepoint提供的技術,更多是來自於企業既有的IT基礎架構產出的資料,只要能餵入演算分析模型所需的類型即可,讓資料蒐集得愈完整,搭配合理的分析方法,產生的數據可信度愈高。
縱觀資安領域市場,每個廠商都有各自擅長的技術,沈志明提醒,並非導入最先進的技術就不會發生資料外洩,控管政策與配置相關措施同等重要,尤其是資料外洩防護的議題,向來無法簡單地藥到病除,而是建構一套有效的方法論,才能夠解決企業或組織的異質問題。