作者:資安人編輯部 -2016 / 12 / 15
長期以來,企業不斷被各種資安威脅困擾,自南韓政府爆發被駭客運用APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)攻擊之後,添購資安設備速度明顯比過去更快,在既有防毒軟體、防火牆之外,也引進IPS入侵預防系統(Intrusion Prevention System,IPS)、APT防護、資料外洩防護(Data Loss Prevention;DLP)等設備,期望有效降低駭客入侵機率,避免發生機密資料外洩事件,只是似乎沒有收到預期的效果。根據ITRC(Identity Theft Resource Center)最新統計結果,全球在2016年至今已經發生763起資料外洩事件,有多達29,340,207筆資料被竊取,整體經濟損失金額難以估計。

過去幾年全球陸續發生多起重大資料外洩事件,即便是大型企業、政府機關,依然無法有效對抗駭客攻擊,如2016年Yahoo便公開發出聲明,證實該公司在 2014 年底曾經被駭客入侵,約至少有多達 5 億筆的 Yahoo 用戶資料遭竊,包括用戶姓名、電子郵件、出生日期、未經加密的自訂等等問題,全數都被駭客盜取。而Dropbox也承認有6,800萬筆資料外洩,儘管外洩資料仍受加密及雜湊演算法保護,但依然要求用戶儘速更換密碼,避免網路硬碟上的資料遭到盜用。前述種種案例讓人不禁質疑,耗費巨資辛苦建立的資安防護架構,是否根本無力阻擋駭客攻擊,而在惡意程式入侵管道多元化下,資安防護是否有需要調整之處。

駭客入侵管道多元 運用UBA補強防護力
在維護辛苦建立商譽的前提下,企業每年都將高達90%資安預算花費在閘道端防護機制上,期望阻斷惡意程式入侵的機率,但是在駭客攻擊手法不斷翻新,入侵管道日益多元化的趨勢下,此種防護措施已不足以對抗新型態的攻擊。根據Verizon最新發布「資料外洩調查報告 2016」指出,以釣魚網站、勒索軟體等誘騙使用者上當,至今仍是犯罪組織常用的手法,其模式是利用個人及企業員工資安意識不足的弱點,進而達成竊取資料的目的。

此外,該報告更進一步指出,85%成功入侵的資安事件,都是瞄準系統既有漏洞發動攻擊,而前述漏洞多半早有修補程式,但是大部分公司卻都沒有進行更新,才會發生添購大量資安設備,卻無法有效杜絕駭客入侵。另外,在63%資料外洩事件中,則是源自於用戶使用容易破解、預設或被盜取的密碼,所以駭客組織很容易就能夠猜中密碼,肆意取得所需的商業機密或顧客資料。

IT調查研究機構Gartner,在一份關於使用者行為分析市場研究報告中指出,現今企業需求在於能偵測各種類型的資料外洩事件,因此以行為分析為基礎的解決方案市場將更為收斂聚合,包括使用者行為分析(User and Entity Behavior Analytics, UEBA)、端點偵測與回應(Endpoint Detection Response, EDR)以及網路流量分析等。多數聚焦單一目的的分析產品都將更延伸支援描述性的分析功能,也就是告訴企業發生甚麼事了。

杜絕駭客、揪出不肖員工 UBA市場規模持續擴大
近幾年使用者行為分析(User Behavior Analytics,UBA)市場逐漸興起,主要是企業希望補強既有資安防護機制的不足之處,以減少資料外洩事件發生的機率。如SIEM平台多強調能夠運用即時關聯分析功能,監控是否有不尋常或未經授權的活動出現,進而在發現有異常行為當下,立即通報給資安管理人員知道,以及聯合其他資安設備對抗惡意程式入侵。然而當駭客組織以竊取來的員工帳號,從遠端登入公司網路,則會被資安設備歸類為合法的連線行為,自然不可能被資安事件管理 (Security Information Event Management,SIEM)列為惡意連線。

相較之下,UBA則具備監控各個帳號登入的狀況,如輸入密碼的錯誤頻率、遠端登入的地區等等,一旦發現輸入錯誤次數超過合理的數字,或同一天於不同國家登入,便會預先將該帳號列為高風險群,在告知系統管理人需注意外,也會協同其他資安設備進行阻斷。

儘管多數資料外洩事件都源自於駭客入侵,但仍有部分源自於不肖員工所為,如新竹科學園區便不時傳出有員工盜賣商業機密給中國的事件。而UBA則能夠在記錄員工存取資料歷程外,也可持續監控該帳號後續的行為,若發現員工將資料存放在外接裝置,或透過電子郵件夾寄出去,則同樣會在第一時間告知管理員,避免商業機密外流的事件發生。

現今愈來愈多資安業者推出UBA方案,部分訴求能夠搭配SIEM平台使用,有些則能夠單獨運作,適用情境與產業不盡相同,資安管理人員在引進解決方案,不妨先重新檢視自身需求,應該能夠找到符合預算與公司需求的方案。

IBM QRadar 使用者行為分析(UBA and Insider threat)