掌握人與檔案行為　自動調整動態資料保護

DLP整合UEBA提升惡意行為覺察力

就以往建置DLP解決方案的需求來看，主要是為了防範無心外流與有意竊取資料的內部人員，或已被竊資程式滲透潛伏的電腦所造成的資料外洩事件，部署場景以辦公室環境為主。近年資安事件發生頻繁，為了協助調查與鑑識，在端點環境又出現EDR（端點偵測與回應）工具協助提升效率，蒐集除了檔案內容以外，在系統環境中所發生的行為特徵，例如執行程序、註冊機碼、系統程式異動等行為，藉此找到入侵軌跡以便有效修補被利用的漏洞。

▲Forcepoint提出動態資料保護技術，為資料外洩防護彙整與分析風險指數，進而觸發合適的控管措施。（資料來源：Forcepoint）

莊添發指出，「傳統的DLP是監看資料流向，在機敏資料被傳遞的當下執行偵測與阻擋，隨著資料竊取手法變得多元化，如今的進階式DLP已開始整合UEBA，從被動偵測轉化為主動防範員工有意或無意的操作錯誤，以及被滲透入侵成功後發生機敏資料外洩的風險。」

他進一步說明，傳統IT環境中行為模式的正常或異常相當易於區分，可直接利用白名單機制來限制應用程式執行，搭配DLP檢查傳輸中的檔案內容、防範機敏資料外流，即足以有所成效。以Forcepoint的DLP為例，已知的正常行為可直接定義為Allow，事先定義的偵測措施則可產生相關的日誌檔，以便做為因應內稽內控或提供資安人員調查依據，例如當收到人資部門通知擁有高權限的員工準備離職，便可據以進行人力追蹤來確認沒有發生偏離正常模式的行為。

問題是，雖然傳統DLP具備內容感知技術，可判斷應用場景中傳遞的檔案機敏性，一旦偵測發現傳輸機密即可觸發告警並予以阻斷，然而多數資安人員未必具備事件調查能力，難以釐清該行為背後的意圖，亦無從判斷究竟是不是被攻擊者遠端控制操作所產生的惡意行為，在人力判斷效益不彰的狀況下自然也就難以達到即時回應。

統合資料來源與大數據分析

欲精準地回應不同應用行為樣態，藉由工具提供的自動化調整控管政策，可降低人力介入執行調查的負擔。莊添發觀察，傳統資安防禦的演進，主要偏重於以威脅為核心，設計防毒軟體、防火牆、網頁安全閘道器等技術，卻忽略了資料本身的重要性。隨著攻擊手法持續演進，防禦思維也開始轉變，朝向以資料為核心發展，例如次世代防火牆、郵件安全、CASB（雲端存取安全代理）等方案，也開始增添機敏資料的保護措施。

對Forcepoint而言，以人為中心的風險適應性是近年來努力發展方向，也就是Forcepoint所提出的Human Point System（HPS）平台，不論是郵件、網頁、終端電腦執行檔案等活動行為，抑或是透過DLP進行存取檔案的內容檢查記錄，統合各種不同環節產生的日誌資料，並加以分析後，可計算出高度風險的行為模式，此時除了技術人力介入調查以外，亦可依據風險優先等級，觸發Forcepoint最新提出的動態資料保護技術，自動調整防護（Risk-Adaptive）立即處置。

「動態資料保護技術是由DLP與UEBA整合後所實現的自動化機制。」莊添發強調。完整的UEBA必須具備的元件，包括行為資料的蒐集與偵測、檔案內容檢查、大數據整合分析平台等，在Forecpoint方案則對應為由FIT（Forcepoint Insider Threat）端點代理程式負責執行蒐集與偵測，同時也是DLP內容檢查技術範疇，至於整合分析，即是以Forecpoint UEBA解決方案提供實作。

依據風險等級調適回應處置

▲ Forcepoint北亞區技術總監莊添發強調企業資安風險控管方式，應轉向以人為中心，利用動態資料保護協助，依據風險優先等級及早處置。

UEBA採用自然語言處理（NLP）、內容分類、統計學等多種方式運算正常行為準則。以離群值（Outlier）為例，傳統的統計學較多是基於單一行為的臨界值來判斷，動態資料保護的機制則是較偏重於存取情境，一旦運算結果發現為離群值，風險數值勢必最高。

經過運算分析結果的數據再餵入DLP引擎，依據高、中、低風險等級分類，建立動態資料保護機制。通常多數使用者歸屬於低風險族群，控管政策僅為監看，藉以進行風險評分與建立日常行為基準線。

隨著使用者的風險指數提升，控管政策也隨之調整變更，例如當低度風險族群的用戶開始複製機敏資料到USB隨身碟，可設定自動觸發檔案加密機制予以保護。

持續監看後若發現行為開始出現變化，例如原本複製機敏檔案的頻率約每週兩次，卻突然在同一天內發生大量複製的動作，此時風險等級將立即被提高到中度風險族群，並蒐集更多行為資料，甚至觸發錄影功能記錄。 萬一持續監看發現的異常行為是上傳檔案到外部雲端空間，則立即被列為高度風險等級，隔絕所有連線行為。