之前提到負責的DLP專案以失敗收場，因為必須花時間與各部門開會了解資料分布情況，宣導資料分類Data Classification，建立資料處理流程，訓練員工熟悉等等，預估一段時間才能完成，遂將專案改為長期計畫。某次一位有經驗的工程師聽到我們的需求，建議道：「聽起來，你們目前不需要DLP，而是需要UEBA軟體。」

真是一舉驚醒夢中人，確實以我們當時的環境和需求，UEBA相較於DLP會是更好的選擇。UEBA是User and Entity Behavior Analytics的縮寫，或作User Behavior Analytic（UBA）一般翻譯作使用者行為分析，也有稱之為內部存取行為監控系統，不同於DLP著重在主動防範、阻止資料外洩，UEBA是採取背景式監視、偵測的方式，一般UEBA軟體會在端點主機或電腦上，依據設定的軟體政策，偵測並紀錄使用者的行為，評估行為後計算出Risk Score風險指數。假設帳號Ａ從電腦裡存取網路硬碟內的一個限制檔案，拷貝一份到電腦桌面，然後插入ＵＳＢ隨身碟並拷貝該檔案到隨身碟，這一連串的行為將觸發UEBA軟體預定的政策，使帳號Ａ的風險指數變高，網管或資安人員可以從監控平台上看到所有高風險指數的帳號，點擊後檢視該帳號一連串的行為，進而評估是否為來自內部的威脅，或者是誤判。

UEBA除了判斷使用者行為，甚至可以監控Entity本身，例如單個端點主機或電腦大量存取檔案室定義為異常行為，或者不正常存取檔案，短時間內大量刪除、拷貝檔、加密檔案等等（中毒啦～被勒索軟體盯上）。現在AI 人工智慧當道，強調Machine Learning機器學習，功能強大的UEBA方案也強調本身有學習引擎，一但在公司環境設置後，以一兩個月的時間建立、學習使用者「正常行為」，便能偵測出異常行為加以警示。依照軟體政策的設定，當使用者行為觸發軟體政策時，除了Log日誌外，UEBA軟體通常可以從該使用者的電腦螢幕截圖，或側錄一段影片，一來方便網管和資安人員分辨是否為誤判，二來可以做為日後的證據。UEBA著重於「偵測」，DLP著重於「防範」，兩者間自然有整合性，可由UEBA偵測、判斷異常行為，再由DLP軟體進行阻擋或警告。

粗略介紹UEBA方案的大致功能和DLP間的差異，特別想要提醒：請確認UEBA是否真的適合你的環境！每個國家地區法令不同，需要遵守的Compliance不同，UEBA方案畢竟有監控的功能在，請和公司高層主管、律師、法遵、人資部門等協商，確認是否真的可以導入UEBA方案，是否真的要使用截圖或側錄功能（還是純粹Log日誌紀錄）。就算確定可以使用，也必須要有明確的ＩＴ政策，明定使用者行為，人資部門可能還要配合在新員工報到時，告知MIS部門可能監控行為，甚至請他們簽署同意書；MIS部門可以設定在員工登入電腦時有視窗跳出，提醒遵守使用守則並同意監控。總之，一定要獲得公司高層同意支持，在法律上站得住腳，否則貿然導入UEBA方案，日後可能會出問題。以下一則便是羅馬尼亞一名員工被開除後宣稱自身隱私權遭受侵犯，歐洲人權法院翻案的新聞：

監控上班通訊 歐洲法院：員工必須知情《中央通訊社》
http://www.cna.com.tw/news/aopl/201709050342-1.aspx

你覺得UEBA方案適合你的環境嗎？你的公司企業有明定使用網路和軟體的政策規範嗎？歡迎留言討論。

「You cannot hide. I see you.」-- Sauron 《The Lord of the Rings魔戒》