領航觀點

漢領國際  (ObserveIT、LogRhythm、Ericom 台灣區總代理) 資安產品技術總監 黃漢宙

全球擁有逾 40 萬會員的 Cybersecurity Insiders 線上資安社群最新的 Insider Threat 2018 Report 名列第一的重要調查結果顯示，90% 受訪者於其身處的企業組織均面臨內部威脅挑戰；其中 37% 認為內部威脅主因在於過多使用者擁有過高權限；36% 認為被授權存取機敏資料的裝置日益增加；35% 認為 IT 技術與架構愈趨複雜。逾 53% 受訪者承認過去 12 個月中遭遇過內部威脅相關事件，故企業組織正在轉移資安焦點，依序是：64% 內部威脅偵測、58% 事前阻絕、49% 分析與留存事件數位證據。

人是內部威脅的原生點，無心與蓄意使用行為所引發的資安危脅最具殺傷力亦最難偵測與防禦。使用行為威脅之辨識無法由 OCR、系統 Log 進行全面偵測或精確還原發生點，而須藉由細膩的 Metadata 之深度與廣度，加強精準偵測辨識與提升內部威脅可視性的能力。從已知授權使用行為的監控分析，到未知的非授權行為之辨識阻絕，皆是內部威脅管理必須具備的關鍵能力。

近年來資訊資產保護與資料外洩阻絕的需求急遽攀升，亦成為內部威脅管理重要的一環，從 Data、應用程式、各類系統的權限控管、檔案存取進出歷程追蹤與數位證據保存，威脅可視性的涵蓋面更須積極延伸至檔案一致性、網路連結、系統執行序、系統日誌等分析與監控能力，缺一不可。以往資料外洩的防護仰賴 DLP，然而 Gartner 目前正評估是否保留 DLP 產業的魔術象限研究分析，因 DLP 無法獨自擔當資料外洩防禦，並很難進行巨量多元化資料的細節分類，導致 DLP 的應用被迫縮小執行範圍且多具盲點，無法真正達成資料外洩防護目的。

縱橫內外龐大情資生態系統之關聯性偵測分析，涵蓋範圍涉及端點、網路封包、基礎建設、防火牆、IPS\IDS、身份驗證、資料存取、檔案歷程、各類應用程式日誌、惡意程式、UEBA，以及第三方情資彙整，結合深入細膩的 Metadata 並運用 AI Engine 多維人工智慧進行全面關聯性分析、動態區間 Baseline 學習與基準線建立，即時精準辨識常態與未知的威脅，提供事件自動回應與協同處理機制，完備了威脅生命週期管理，進而構建了一張內外交織的全方位資安偵測防禦網，由內而外全面提昇威脅可視性與精確度，由外而內掌控威脅情資並展開智慧關聯性防禦。除此之外，2018 一項不容忽視的新興資安議題，即以 secure browsing 與檔案淨化網路防護技術抵禦反沙箱惡意程式攻擊，協助企業組織徹底進行 web isolation。