在雲端服務、行動化的應用趨勢推動下,IT整體架構已隨之改變,對外連線的出口與商業運營模式都變得更多元,企業營運核心命脈的資料諸如在高科技製造業為營業秘密,對銀行、流通業而言則是客戶的隱私資料,皆無法忽視保護措施的重要性。
台灣IBM資訊安全事業部協理金天威認為,營運高層或IT管理者首要必須先定義機密文件類型,再透過盤點來掌握存放的位置,畢竟公司日常營運所產生的資料量中,機密文件可能只佔5%,且可能有多個部門擁有存取權限。緊接著是定義實施保護措施的目的,若為法規遵循,需求明確下建置模式也較單純;若是營業秘密的保護,則必須就企業整體工作流程來評估,釐清可能外洩的環節與通道,複雜度較高。
|
▲ 台灣IBM資訊安全事業部協理金天威提醒,防範內部威脅,絕非單一解決方案得以完整協助。更重要的是,必須持續不斷地檢視保護措施運行狀態,並隨著營運業務的轉變調整配置。 |
從輔助建立保護措施的方案來看,若企業欲監看內部檔案與資料庫存取活動,IBM Guardium即可協助。「過去導入建置的客戶,對於資料庫稽核的需求較多,因此主要是運用在資料庫活動控管。但其實檔案系統、大數據,同樣是Guardium保護範疇。」金天威強調。
至於內部威脅監控,則是由QRadar搭配UBA模組,透過解析完整的封包資訊,建立長期分析機制,萬一發生資安事件時,得以及時掌握清楚的輪廓。其實UBA機制本就屬於QRadar平台的一環,藉此定義特權帳號用戶,建立控管規則,並依據存取行為觸發告警,由稽核單位或資安人員判斷合法性。
「隨著內部威脅手法變得更多樣化,IBM近年來又重整應用程式,掛載在QRadar平台之上。更重要的是,UBA機制並非併購取得,且毋需額外收取費用,可說是IBM較大差異。」金天威說。
他進一步說明,以往內部威脅較單純,解決方案的設計著重在存取認證授權即可。但是從新聞事件中發現,許多重大資料外洩案件,往往是合法擁有權限者,有意或無意所造成,於是企業開始關注特權用戶管控議題,IBM才設計以UBA模組方式來提供協助。
只是特權帳戶管理通常沒有標準可依循,主要是依照存取權限定義來配置措施,大多是針對公司內部少數擁有高敏感性資料存取權限的用戶進行管控,所有的存取行為皆需要受到監看與稽核。
儘管如同銀行業常見的實體隔離作法,最能有效達到保護資料的目的。但考量工作效率,勢必得適度開放便利性的做法,因此對於內部威脅的掌握,也得依據工作流程進行調整,運用UBA機制長期學習用戶行為,來判斷是否偏離常態,進而觸發控管措施或告警,才有機會在資料被帶走前先行攔阻。