User and Entity Behavior Analytics Cloud Access Security Broker User Behavior Analytics TRITON AP-DATA Insider Threat Forcepoint SureView Skyfence 工業4.0 資料外洩 數位轉型 UEBA CASB 營業秘密 物聯網 機器人 UBA IRR

從使用者存取行為著手 內、外雙管齊下保護資料

2017-06-16
為了協助更多企業依照不同資料存取模式,建立有效的防護措施,Forcepoint不僅持續發展DLP方案,增添基於機器學習演算法執行分析的IRR(Incident Risk Ranking)模組,並整合屬於UEBA領域的Forcepoint Insider Threat,運用使用者行為分析技術,完善由內往外的保護措施。此外,年初又收購Skyfence,取得CASB(Cloud Access Security Broker)技術,正可協助現代企業建立雲端應用的資料保護機制。

如今解決方案的發展方向,Forcepoint北亞區技術總監莊添發認為,主要在於協助IT或資安人員有效率地釐清高風險的使用者,作法即是以DLP所產生的Log為基礎,增添IRR模組,以機器學習演算法協助分析資料內容。至於Insider Threat,則是專注於使用者行為、機器運行狀態,並非以偵測檔案內容為主。

▲ Forcepoint北亞區技術總監莊添發認為,愈來愈多企業把本地端應用系統遷移上雲,或是直接採用SaaS模式,使得IT應用環境變得多元,同時也產生新的資料保護議題,CASB即是協助解決雲端應用安全問題。
莊添發舉例,假設研發部門員工連線到內部共享資料夾,執行複製的動作,Insider Threat會監看該行為複製的檔案名稱、次數、時間等存取資訊;DLP則是著重於檔案的內容是否具機密性,兩者對於資料保護的模式完全不同。

畢竟資安建置模式應為縱深防禦,避免疊床架屋的架構。如今企業IT環境較過去更加複雜,網路上不僅正常與異常流量夾雜,更有愈來愈多企業採用雲端服務,因此防禦機制的設計,應同樣為可直接採用訂閱方式來建立的保護措施。Forcepoint CASB解決方案即是著眼於此。

CASB較原本Forcepoint既有提供的郵件、DLP雲端服務不同,莊添發說明,郵件、DLP雲端服務的保護措施,僅針對郵件通道來偵測外發檔案是否具機密性,不涉及儲存位置。當然亦可透過API方式,整合雲端儲存空間來偵測檔案內容的機敏性,但若是需要執行阻斷,則必須由CASB來協助。

為了降低資料外洩風險,企業已開始為SaaS應用模式制定控管政策。即使是被允許使用的SaaS,也須掌握使用者操作行為,以便從中控管風險性,或建立保護措施。「其實Forcepoint原本的Web安全方案在收購Skyfence之前,即已透過OEM方式整合CASB機制,協助客戶從流量資訊監看上網行為,只要透過公司無線網路連線存取SaaS,即可掌握雲端服務應用行為;至於採用電信網路連線,則需要在行動系統平台上安裝代理程式,即使是管理員或特權用戶,同樣可達到監看活動資訊的目的。」

CASB一旦偵測到存取行為的IP位址為殭屍電腦,或是在極短時間內存取位置改變得不合乎常理,可立即予以阻擋,防止資料遭竊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!