之前提到負責的DLP專案以失敗收場,因為必須花時間與各部門開會了解資料分布情況,宣導資料分類Data Classification,建立資料處理流程,訓練員工熟悉等等,預估一段時間才能完成,遂將專案改為長期計畫。某次一位有經驗的工程師聽到我們的需求,建議道:「聽起來,你們目前不需要DLP,而是需要UEBA軟體。」
真是一舉驚醒夢中人,確實以我們當時的環境和需求,UEBA相較於DLP會是更好的選擇。UEBA是User and Entity Behavior Analytics的縮寫,或作User Behavior Analytic(UBA)一般翻譯作使用者行為分析,也有稱之為內部存取行為監控系統,不同於DLP著重在主動防範、阻止資料外洩,UEBA是採取背景式監視、偵測的方式,一般UEBA軟體會在端點主機或電腦上,依據設定的軟體政策,偵測並紀錄使用者的行為,評估行為後計算出Risk Score風險指數。假設帳號A從電腦裡存取網路硬碟內的一個限制檔案,拷貝一份到電腦桌面,然後插入USB隨身碟並拷貝該檔案到隨身碟,這一連串的行為將觸發UEBA軟體預定的政策,使帳號A的風險指數變高,網管或資安人員可以從監控平台上看到所有高風險指數的帳號,點擊後檢視該帳號一連串的行為,進而評估是否為來自內部的威脅,或者是誤判。
UEBA除了判斷使用者行為,甚至可以監控Entity本身,例如單個端點主機或電腦大量存取檔案室定義為異常行為,或者不正常存取檔案,短時間內大量刪除、拷貝檔、加密檔案等等(中毒啦~被勒索軟體盯上)。現在AI 人工智慧當道,強調Machine Learning機器學習,功能強大的UEBA方案也強調本身有學習引擎,一但在公司環境設置後,以一兩個月的時間建立、學習使用者「正常行為」,便能偵測出異常行為加以警示。依照軟體政策的設定,當使用者行為觸發軟體政策時,除了Log日誌外,UEBA軟體通常可以從該使用者的電腦螢幕截圖,或側錄一段影片,一來方便網管和資安人員分辨是否為誤判,二來可以做為日後的證據。UEBA著重於「偵測」,DLP著重於「防範」,兩者間自然有整合性,可由UEBA偵測、判斷異常行為,再由DLP軟體進行阻擋或警告。
粗略介紹UEBA方案的大致功能和DLP間的差異,特別想要提醒:請確認UEBA是否真的適合你的環境!每個國家地區法令不同,需要遵守的Compliance不同,UEBA方案畢竟有監控的功能在,請和公司高層主管、律師、法遵、人資部門等協商,確認是否真的可以導入UEBA方案,是否真的要使用截圖或側錄功能(還是純粹Log日誌紀錄)。就算確定可以使用,也必須要有明確的IT政策,明定使用者行為,人資部門可能還要配合在新員工報到時,告知MIS部門可能監控行為,甚至請他們簽署同意書;MIS部門可以設定在員工登入電腦時有視窗跳出,提醒遵守使用守則並同意監控。總之,一定要獲得公司高層同意支持,在法律上站得住腳,否則貿然導入UEBA方案,日後可能會出問題。以下一則便是羅馬尼亞一名員工被開除後宣稱自身隱私權遭受侵犯,歐洲人權法院翻案的新聞:
監控上班通訊 歐洲法院:員工必須知情《中央通訊社》
http://www.cna.com.tw/news/aopl/201709050342-1.aspx
你覺得UEBA方案適合你的環境嗎?你的公司企業有明定使用網路和軟體的政策規範嗎?歡迎留言討論。
「You cannot hide. I see you.」-- Sauron 《The Lord of the Rings魔戒》
關於導入UEBA方案,廠商們在DEMO的時候也有分享他們客戶一般導入時所需的準備,「明定使用網路和軟體的政策規範」真的是第一步。什麼是允許的,什麼是允許的(例如不准上班時間看youtube
),都要寫清楚。
UEBA也不是一定都這麼恐怖,我也見過產品是從SIEM切入UEBA市場,從本身收集的LOG日誌作分析,無須在端點電腦安裝Agent,當然功能性就不太一樣,著重在分析和提供風險指數,沒有側錄和截圖的功能。
很像以前我某軟公司要錄SK的宣言,目的是要嚇阻
一方面是嚇阻,一方面也是盡告知義務,避免將來員工反咬一口說從來沒人告之上網行為會受監控