在資安領域中相當擅長於內部威脅防護的Forcepoint,整合旗下眾多展品線,依據現代企業在數位轉型的道路上,勢必得關注的三大主軸:雲端與網路安全、機敏資料與智慧財產、員工與內部安全防護,提出相關的資安控管策略與方法論,以人為核心解析風險等級,依據不同應用情境動態調整回應措施。
前述的機敏資料與智慧財產保護是以Forcepoint DLP技術為主軸,監看閘道端的郵件與網頁安全存取掌握檔案進出的管道,同時整合2017年併購自Skyfence取得的CASB(雲端存取安全代理)技術,用以確保雲端存取安全,以及搭配Behavioral Analytics(行為分析),併購RedOwl取得的UEBA(使用者與實體設備行為分析)技術,不僅只著墨於DLP執行事中防護,還進而藉由蒐集取得豐富的資料來源運行行為分析,凸顯出惡意意圖的存取者,俾能在事前及時攔阻,以降低資安事故發生的機率。
DLP事中攔阻搭配行為分析提升預測力
為了防止機敏資料外洩,許多企業採用DLP方案輔助,檢查使用者透過網路上傳檔案到OneDrive等雲端硬碟的檔案內容,抑或是附加在郵件中發送、AirDrop傳輸、藍牙列印等動作,必須先通過DLP檢查確認未包含機敏內容,即時攔阻機敏資料外流。
Forcepoint技術顧問陳志遠不諱言,任何技術皆有其極限,DLP的限制在於難以完整定義所有檔案,但是Forcepoint並未因此而放棄努力,提出可搭配事前的偵測機制達到早期預警之功效,從風險的角度看待機敏資料管控。事實上,公司內部有心人士要做壞事之前通常有跡可循,從監控管道蒐集到的片段線索,經過拼湊後可推論出下一步的活動,也因此Forcepoint在機敏資料與智慧財產保護範疇中,納入了行為分析。
資安技術自發展以來,從早期提倡IAM控管存取權限,演進到DLP可針對檔案內容偵測與管控,如今則是更進一步,在惡意活動得逞之前就先預見下一步動作,及時提出警示並且進行調查,欲達到此目標,必須仰賴有如專業資安人員的大腦來輔助分析。
非IT領域專才訓練資料模型解析行為
資料來源的豐富程度直接影響行為分析的準確度。陳志遠指出,Forcepoint同時擁有DLP、郵件安全閘道器、網頁安全閘道器、CASB,以及部署於端點的內部威脅(Insider Threat)蒐集器,在不同環節所產生的資料皆得以餵入Human Point System平台,依據Forcepoint已經訓練完成的演算模型解析各式行為。
值得一提的是,Forcepoint旗下設立的X-Labs研究部門,網羅行為學、心理學、反間諜等不同領域專家所組成,訓練出來的資料模型更能準確地預測。陳志遠舉例,就如同各國氣象研究中心發布的颱風路徑預測皆不盡相同,主要因素在於蒐集取得的資料來源不同,經過分析後產生的結果也有所差異;企業內部高風險的存取行為分析也是同樣道理,首先得蒐集豐富的資料,藉由Insider Threat可取得數量更龐大、範圍更廣的資料來源,例如應用程式執行、網路連線、檔案存取等細節,才足以演算分析出真正有用的資訊與知識;相對的,若擁有數量龐大、多樣化的資料來源,卻缺少資料科學家投入研究與分析,仍無法理解資料內容產出有用的資訊與知識。
「資料來源與科學家可說是行為分析最強而有力的後盾,讓大腦的分析邏輯得以有效率的運作。資料記載的內容,對於一般人而言可能不認為有何特殊之處,但是對於擁有專業知識的科學家而言則反而是種跡象,可進一步推論整起事件的脈絡。」陳志遠強調。
X-Labs研究部門針對資安控管常見的需求,已訓練出多種類的分析模型,包含資料外洩、遭竊取的帳戶、惡意使用者、負面行為、違法行為。就資料外洩來看,採用的分析模型包含內部與外部資料流通方式產生的風險、檔案操作的風險等,主要是基於網頁代理伺服器、作業系統環境、使用者活動監控、郵件、即時通訊、網路封包解析等資料來源執行的訓練,藉此推論引發資料外洩的因素與文件內容。經由X-Labs的科學家具體地訓練出實際可應用的資料模型,才能讓企業更清楚得知應用人工智慧可達到的目標,以及可用來解決的問題。
Forcepoint技術顧問陳志遠指出,各行業因應數位化開始採用雲端服務時,須留意原本地端耗時費力所制定的DLP控管政策,必須同步應用到雲端平台,讓地端與雲端建立一致性的資料保護措施。
現階段資安市場提及行為分析,有能力像是Forcepoint如此具體描述資料模型的廠商並不多見,使得企業根本無法判別眾家廠商之間的差異性。「Forcepoint思考的方式是具象化企業面臨的困境,並且掌握現有資訊科技的限制,釐清現在想要補強的是整體應用環境中的哪些環節。如此一來才可清楚得知,採用使用者行為分析機制,可以得到哪些具體的目標,過程中必須餵入哪些種類的資料來源。」陳志遠說。
持續評估整體風險動態調整資料保護
為了引導正在邁向數位化的企業建立應有的資安風險控管能力,Gartner近年來提出七大要點指出持續自適應風險與信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA),已逐漸成為資安廠商研發解決方案的指導原則。陳志遠說明,CARTA點出過去發展的一次性防護機制,只有阻斷的執行能力,無法得知整體行為模式,如何判斷究竟是高風險使用者、新進員工不熟悉資安政策、還是電腦已遭滲透,勢必得要有輔助判斷的方法,才有機會在資料外洩事故發生前,駭客還在嘗試找到迴避偵測方法的階段,就得以先一步發現。
他進一步指出,欲實踐持續自適應風險與信任評估,必須要掌握應用情境、持續進行監看與評估風險、運用自動化流程即時回應等方向,並且是在數位化營運業務開展之前應具備的能力。這些論點正符合Forcepoint發展理念。「對於Gartner持續自適應風險與信任評估原則,各家資安廠商勢必都有不同詮釋方式,以Forcepoint角度來看,我們產品的發展藍圖,正符合這七大要項,早已不只是提供一次性的防禦技術,達到事中攔阻目的而已,Forcepoint要做到的是整體風險評估,而且具有自動回應能力。」
依風險自動調整回應的策略,正是Forcepoint獨特的動態資料保護(Dynamic Data Protection)技術。藉由完整蒐集來自Insider Threat、DLP、CASB、NGFW等不同資安技術產生的資料,餵入分析引擎,再根據運算結果的風險數值,自動調整執行回應的方式,藉此防治任何內部威脅事故發生。