隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(User and entity behavior analytic, UEBA)的可行性。
在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中向來是企業最頭痛的問題。過去的年代,我們可能會使用作業系統的群組原則Global Policy、資料外洩防護Data Loss Protection(DLP)去防護。
但是這些都是原則性、被動形式的防護,在現今日新月異的科技面前,很容易掛萬漏一。舉例說數年前,我也曾經見過有客戶的封鎖USB接口的原則,對於使用microUSB接線駁Android手機然後插入SDcard的抄寫行為是無法防御的。
UEBA是結合了原則性、日常行為與異動比較,再透過機器學習去分析這個行為究竟有沒有對公司造成潛在威脅。簡單說就是因不同時間、不同使用者的習慣去了解這個行為是否異常。
Sources: https://learn.microsoft.com/zh-tw/azure/sentinel/anomalies-reference#ueba-anomalies
舉例說,一個每天在香港時區0900-1800上班的同事,忽然間出現在0100於美國遠端登入公司內部伺服器存取。假若群組原則是容許該名同事使用公司遠端登入,就不會出現任何警示,但在UEBA的情況下則會被視為異常並發出警示。
反過來,如果另一名經常出差員工也有類似登入的行徑,則UEBA會結合分析他過往的登入紀錄、去過的地方和時間,也就未必會被認為是異常。當然,趟若他上1小時還在香港登入,下1小時就在美國出現了,這也不可能是正常的行為。
粗略地說,UEBA會結合以下的基準去分析:
- 地理位置、合理移動時間和存取IP等資料
- 時間和頻率(使用者歷程記錄)
- 相較於企業其他員工的行為
- 相較於企業業務的需要行為
在筆者之前處理過的事件,也看過一些是銷售同事在不合理大批存取公司的內部資料。短時間內於某個檔案伺服器的指定文件匣裡下載大量的文件,這和他以前的日常業務行為有很明顯的異常。
如果套用群組原則,因為他是有權限存取的,當然沒有問題。但在UEBA分析,卻會發出警示給管理員及相關管理層,揭發這位同事是準備在離職前將客戶的資料副本拿走。
現在雲端環境越來越普及,平板手機納入辦公器材、遙距辦公環境也令資安的防護不能只限制於OS的群組原則或是實體DLP就足以應付。
筆者會建議大企業應考慮引入UEBA等先進方案以保障公司的資料安全和機密性。
