2024-01-18 企業宜部署UEBA資安方案

更新於 2024/01/18閱讀時間約 2 分鐘

隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(User and entity behavior analytic, UEBA)的可行性。

在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中向來是企業最頭痛的問題。過去的年代,我們可能會使用作業系統的群組原則Global Policy、資料外洩防護Data Loss Protection(DLP)去防護。

但是這些都是原則性、被動形式的防護,在現今日新月異的科技面前,很容易掛萬漏一。舉例說數年前,我也曾經見過有客戶的封鎖USB接口的原則,對於使用microUSB接線駁Android手機然後插入SDcard的抄寫行為是無法防御的。

UEBA是結合了原則性、日常行為與異動比較,再透過機器學習去分析這個行為究竟有沒有對公司造成潛在威脅。簡單說就是因不同時間、不同使用者的習慣去了解這個行為是否異常。

raw-image



Sources: https://learn.microsoft.com/zh-tw/azure/sentinel/anomalies-reference#ueba-anomalies

舉例說,一個每天在香港時區0900-1800上班的同事,忽然間出現在0100於美國遠端登入公司內部伺服器存取。假若群組原則是容許該名同事使用公司遠端登入,就不會出現任何警示,但在UEBA的情況下則會被視為異常並發出警示。

反過來,如果另一名經常出差員工也有類似登入的行徑,則UEBA會結合分析他過往的登入紀錄、去過的地方和時間,也就未必會被認為是異常。當然,趟若他上1小時還在香港登入,下1小時就在美國出現了,這也不可能是正常的行為。

粗略地說,UEBA會結合以下的基準去分析:

  • 地理位置、合理移動時間和存取IP等資料
  • 時間和頻率(使用者歷程記錄)
  • 相較於企業其他員工的行為
  • 相較於企業業務的需要行為

在筆者之前處理過的事件,也看過一些是銷售同事在不合理大批存取公司的內部資料。短時間內於某個檔案伺服器的指定文件匣裡下載大量的文件,這和他以前的日常業務行為有很明顯的異常。

如果套用群組原則,因為他是有權限存取的,當然沒有問題。但在UEBA分析,卻會發出警示給管理員及相關管理層,揭發這位同事是準備在離職前將客戶的資料副本拿走。

現在雲端環境越來越普及,平板手機納入辦公器材、遙距辦公環境也令資安的防護不能只限制於OS的群組原則或是實體DLP就足以應付。

筆者會建議大企業應考慮引入UEBA等先進方案以保障公司的資料安全和機密性。

avatar-img
19會員
86內容數
現職風險管理部總監、兼任大學資安講師及博士研究生。語言學、電腦罪案、工商管理及傳媒管理碩士學位。CISSP、CISA、CISM、CRISC、CHFI、PMP及ISO27001首席審計師資格。也是一名被資安生涯耽誤的詩人及酒徒,作品散見於網路及台港詩刊,持國際唎酒師資格......興趣太廣泛的大孩子。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
左先生的沙龍 的其他內容
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。 而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。 過往IT審計可能
近年最受大眾所注視的Ransomware事件,要數2017年的Wannacry,當時不論是大型企業或是每年投放大量資源於資訊保安的銀行、政府機構也不能倖免。 過去幾年,看似沒有關於Ransomware嚴重保安事故的新聞報導,但是Ransomware的威脅不單沒有減低,越來越多的企業正受到更多模化的
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。 而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。 過往IT審計可能
近年最受大眾所注視的Ransomware事件,要數2017年的Wannacry,當時不論是大型企業或是每年投放大量資源於資訊保安的銀行、政府機構也不能倖免。 過去幾年,看似沒有關於Ransomware嚴重保安事故的新聞報導,但是Ransomware的威脅不單沒有減低,越來越多的企業正受到更多模化的
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
Thumbnail
本蛙應該是唯一告訴你,年底那波就是「選舉行情」,結束就結束了。 政府主導的選舉行情結束,準備要下車了,才發現沒有煞車皮~『排骨雞腿麵很好』~台股基本面很好~鬼才相信。 就是這種縱容炒作,讓績優股沒有表現空間,才使得台股結構失衡。不如買ETF?你很快會痛醒。
Thumbnail
今日牌卡:智者   https://dcalyson0110.pixnet.net/blog/post/132178465   最近,對自己想要做的事情感到膽怯 深刻認為自己能力不足 強烈覺得自己尚須增進   原本說得多有興奮,現在就有多恐慌 原本說得多有信心,現在就有多不安  
Thumbnail
加權指數下跌185.08點,收在17,161,成交量3829.43億元。昨日的重點就是區間已經被突破,趨勢性就會出來了,很快的今天就直接帶量下殺,也因為週三結算和期貨空單大幅度的部位,造就盤勢順勢的向下收低。快速下殺後,是否能準備撈底或是盤勢續跌呢?一樣看看籌碼以及技術面有什麼變化吧。
Thumbnail
Coingrew 交易所,作為一家基於人工智慧技術的數字貨幣交易平臺,旨在為全球投資者提供智能、高效、安全的交易體驗。成立於2019年,總部位於美國,亞太區辦事處設於新加坡,Coingrew已經在短短的時間內成功服務了超過100個國家和地區,擁有超過100萬的註冊用戶,每天的交易量更達到了驚人的50
Thumbnail
你是否曾經看到你的狗狗做了一些讓你覺得它在向你道歉的事情?你是否好奇狗狗真的是在說對不起嗎?在這篇文章中,我們將介紹狗狗說對不起的18種方式,讓你學會狗狗的語言,並且知道它們是怎麼表達自己的內心感受的。
Thumbnail
在分享查理蒙格的思考智慧的下半部,我將把文章的重心放在查理蒙格的投資思考上。在正式介紹蒙格的投資哲學前,我必須先介紹蒙格坎坷的年輕歲月,一個聰明絕頂的法律系高材生,卻有個不順遂的年輕歲月,然後逐漸成長為投資大師。 台灣上市櫃企業面對接班難題,如何長期投資是重大考驗,茲以葡萄接班王為例
Thumbnail
沒錯,星期一的夜晚,左手哥又來啦~ 今天參加了傳說中的M1課程,也順利結束第一天的課程,實體的培訓,真的會讓人充滿能量,趁著記憶猶新的時刻,也想記錄下我的一些短短心得。 重申BNI使命 協助會員運用有架構、正向積極及專業的引薦行銷計畫,與各領域優秀的商務人士,建立長期有意義的關係,來壯
Thumbnail
傳產交出優異成績,資金卻只在不確定復甦的電子族群流動。 這是對本蛙的最大諷刺,認真按技術面選股,選出的卻是基本面最佳股票,看過「散裝航運」Capesize四大天王中:十二月營收,慧洋、新興年度新高,裕民、中航年度次高,你覺得就像基本面選股,那你應該看看下面的股票,歷史新高、歷史次高、歷史第三高……
隨著業績目標每年提升,要周旋在各個客戶之間 有些客戶是惡魔,專案接下後惹得全公司都討厭,但是每年給你很多錢,幫助你達到業績目標;有些客戶是天使,善解人意、不吵不鬧,但預算就是無法再提高;有些客戶是精算師,砍價又凹東西到想跟他謝謝再聯絡,可是又會為了業績低頭....。到底做一個成功的業務有沒有最佳解
Thumbnail
今天開始行事曆書寫,檔案命名,要調整為2024年了。年紀越大,越能感受歲月的消逝,同時似乎也越能感受生命中各種大大小小的恩典。感受力的敏銳,就是來自於上主的安排與自己每日親近上主。
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
Thumbnail
本蛙應該是唯一告訴你,年底那波就是「選舉行情」,結束就結束了。 政府主導的選舉行情結束,準備要下車了,才發現沒有煞車皮~『排骨雞腿麵很好』~台股基本面很好~鬼才相信。 就是這種縱容炒作,讓績優股沒有表現空間,才使得台股結構失衡。不如買ETF?你很快會痛醒。
Thumbnail
今日牌卡:智者   https://dcalyson0110.pixnet.net/blog/post/132178465   最近,對自己想要做的事情感到膽怯 深刻認為自己能力不足 強烈覺得自己尚須增進   原本說得多有興奮,現在就有多恐慌 原本說得多有信心,現在就有多不安  
Thumbnail
加權指數下跌185.08點,收在17,161,成交量3829.43億元。昨日的重點就是區間已經被突破,趨勢性就會出來了,很快的今天就直接帶量下殺,也因為週三結算和期貨空單大幅度的部位,造就盤勢順勢的向下收低。快速下殺後,是否能準備撈底或是盤勢續跌呢?一樣看看籌碼以及技術面有什麼變化吧。
Thumbnail
Coingrew 交易所,作為一家基於人工智慧技術的數字貨幣交易平臺,旨在為全球投資者提供智能、高效、安全的交易體驗。成立於2019年,總部位於美國,亞太區辦事處設於新加坡,Coingrew已經在短短的時間內成功服務了超過100個國家和地區,擁有超過100萬的註冊用戶,每天的交易量更達到了驚人的50
Thumbnail
你是否曾經看到你的狗狗做了一些讓你覺得它在向你道歉的事情?你是否好奇狗狗真的是在說對不起嗎?在這篇文章中,我們將介紹狗狗說對不起的18種方式,讓你學會狗狗的語言,並且知道它們是怎麼表達自己的內心感受的。
Thumbnail
在分享查理蒙格的思考智慧的下半部,我將把文章的重心放在查理蒙格的投資思考上。在正式介紹蒙格的投資哲學前,我必須先介紹蒙格坎坷的年輕歲月,一個聰明絕頂的法律系高材生,卻有個不順遂的年輕歲月,然後逐漸成長為投資大師。 台灣上市櫃企業面對接班難題,如何長期投資是重大考驗,茲以葡萄接班王為例
Thumbnail
沒錯,星期一的夜晚,左手哥又來啦~ 今天參加了傳說中的M1課程,也順利結束第一天的課程,實體的培訓,真的會讓人充滿能量,趁著記憶猶新的時刻,也想記錄下我的一些短短心得。 重申BNI使命 協助會員運用有架構、正向積極及專業的引薦行銷計畫,與各領域優秀的商務人士,建立長期有意義的關係,來壯
Thumbnail
傳產交出優異成績,資金卻只在不確定復甦的電子族群流動。 這是對本蛙的最大諷刺,認真按技術面選股,選出的卻是基本面最佳股票,看過「散裝航運」Capesize四大天王中:十二月營收,慧洋、新興年度新高,裕民、中航年度次高,你覺得就像基本面選股,那你應該看看下面的股票,歷史新高、歷史次高、歷史第三高……
隨著業績目標每年提升,要周旋在各個客戶之間 有些客戶是惡魔,專案接下後惹得全公司都討厭,但是每年給你很多錢,幫助你達到業績目標;有些客戶是天使,善解人意、不吵不鬧,但預算就是無法再提高;有些客戶是精算師,砍價又凹東西到想跟他謝謝再聯絡,可是又會為了業績低頭....。到底做一個成功的業務有沒有最佳解
Thumbnail
今天開始行事曆書寫,檔案命名,要調整為2024年了。年紀越大,越能感受歲月的消逝,同時似乎也越能感受生命中各種大大小小的恩典。感受力的敏銳,就是來自於上主的安排與自己每日親近上主。