UEBA DLP McAfee MVISION Skyhigh Unified Cloud Edge

統合地端DLP與雲端CASB機制 建立新世代資料外洩防線

Unified Cloud Edge 打造無所不在的資料保護

2019-11-20
為了遏止內部威脅導致資料外洩事件發生,現代企業不僅可用地端部署的DLP(資料外洩防護)方案協助,更可沿用至雲端應用平台,進而擴展提供UEBA(使用者與實體設備行為分析)技術,主動學習每個使用者存取檔案的模式,不用預先設定配置,當使用者開始產生竊取資料意圖時,資料演算分析行為模式的結果,會開始跟既有的存取習慣、相同部門的其他同事有所差異,IT管理者可及時介入判斷正常或異常。

 

McAfee北亞區解決方案架構師沈志明指出,以機器學習演算技術來輔助防範資料外洩已是IT業界普遍的作法,也可以提高基於可疑檔案名稱、關鍵字等事後調查與鑑識作業的執行效率。McAfee於2018年年初正式宣布收購CASB(雲端存取安全中介)廠商Skyhigh,且持續支援既有研發項目,演進成為如今的Mvision Cloud,其中即包含UEBA模組。

Mvision Cloud是以雲端服務模式提供,但是對於相當關注資料外洩議題的企業,多數內部已部署McAfee DLP端點方案來防範,故只須搭配內建的加密機制,以及在檔案中增加標籤可便於持續地進行追蹤,讓管理者得以掌控機敏資料的流通動向,不管檔案存放在各式端點、雲端平台,都可藉由標籤來辨識。

機敏檔案設標籤輔助辨識與追蹤位置

「標籤機制可說是McAfee較獨特之處。」沈志明說。辨識資料的敏感程度對於輔助管理工具而言相當關鍵,過去採用的技術可能仰賴關鍵字、檔案指紋特徵,再搭配使用者在新增機敏資料當下就賦予的標籤,不論檔案存放於公司內部檔案伺服器、正透過網路傳輸、上傳到雲端儲存,都有能力辨識與追蹤,並且依據統一控管政策判斷必須予以加密或隔離存放。

地端判定為高敏感度的資料,雲端存放的檔案同樣也具備相同能力,再搭配Mvision Cloud提供的UEBA模組演算資料分析,可進一步察覺出異常狀況,以免讓有心人士得逞。

ePO統一控管地端與雲端保護機制 

談到資料保護,不外乎探究檔案於傳輸、使用、儲存時DLP的控管機制,隨著雲端應用需求增長,勢必得延伸將雲端納入防護範疇,McAfee Mvision Cloud即是扮演雲端安全防護者的角色。對IT管理者而言,無須設定兩套控管政策,藉由McAfee ePO單一控管平台(或者Mvision ePO),即可制定地端DLP與雲端Mvision Cloud彼此之間的政策同步,企業得以選擇沿用地端或轉換為雲端平台上建立控管機制。

「端點的DLP具有網路型監控、入侵偵測等機制,都在單一ePO環境中執行控管。把地端與雲端串連起來,是McAfee領先於市場的因素。只要是機敏資料,不論存放的位置,都能善加保護。」沈志明說。

企業用戶可透過ePO執行DLP Discover來搜查機敏資料,依據控管政策,給予標籤或直接加密保護。多數DLP控管政策是偵測到機敏資料時逕行攔阻,並且執行通知與記錄,McAfee DLP則是再增添加密的選項,增加彈性以滿足終端用戶需求,例如政策可調整為加密後放行,只要公司內部的收件者同樣有加密模組,而且有解密金鑰,即可開啟查看。

網路型的DLP Monitor,較獨特的機制是Capture,可藉此記錄端點環境的所有活動,並且主動增添索引,以提高事後調查的效率。「實際上,多數DLP皆有提供Capture機制,卻欠缺索引的設計,DLP Monitor則除了記錄以外亦主動取出Metadata增添索引,事後調查時才得以快速地執行搜尋機制。」

此外,McAfee Capture機制的另一項特性是輔助調整設定政策。若為新增加的控管政策,可直接從Capture保存配置的資料庫中取得端點相關參數值先行測試,執行結果若不如預期,可立即細微調整政策配置,再次測試驗證直到確實可達到預期目標為止。若沒有Capture協助,每次新控管政策要實際去擷取封包,執行測試程序會較複雜。

掌握雲端帳戶ID管理App合法應用 

至於雲端平台上的資料保護,主要是仰仗CASB來提供協助。McAfee併購Skyhigh取得的技術,成為現今的Mvision Cloud,藉此建立可視化能力,進而達到實施控管政策的目標。就可視化能力來看,主要是掌握所有雲端平台上存放的檔案,並且詳加記錄存取者、時間、存取標的等行為,得以有詳盡的可視化檢視基礎。此後即可藉此建立控管措施,若為敏感性較高的資料可設定為刪除、隔離、加密存放,抑或是非法裝置不得存取。

McAfee北亞區解決方案架構師沈志明指出,現代資料外洩的管道太多,唯有運用控管工具,讓網路的進與出全數先導向雲端平台檢查,才得以解決IT管理者最頭痛的手機App管控,針對允許與非允許的App配置不同程度使用權限。

Mvision Cloud作為雲端的DLP,搭配既有地端DLP,彼此之間的控管政策已經可同步,接下來則是著重於改善整合運行效率。沈志明說明,「目前正在積極發展的Unified Cloud Edge,組成元件包含DLP、Secure Web Gateway、CASB,同時搭配手機上安裝McAfee Client Proxy代理程式,以便接受Mvision Cloud控管。實際上,McAfee發展策略主要是從網頁安全的角度,再加強行動化應用,現階段McAfee Mobile Security,就是把控管機制延伸到行動裝置,讓流量導向Mvision Cloud執行偵測與過濾。」

建構跨終端裝置的控管平台後,地端與雲端的DLP政策亦可同步,接下來還可繼續延伸解決更多企業面臨的難題,例如影子IT。沈志明進一步提到,McAfee本來協助解決影子IT的問題是提供可視化機制,蒐集Proxy、NGFW產生的日誌,進而關聯出行為軌跡,從中偵查出非法運行的App,該機制稱為Closed-loop Remediation,可指出應該要被阻斷執行的高風險App。如今Mvision Cloud再進化,可提供詳盡的Cloud Registry,來自於McAfee既有的雲端情資,存放全球App資料庫的總數有近三萬筆,足以餵入Proxy、NGFW系統以強化辨識能力。

近期發展解決影子IT的機制則是開始擴展到SaaS應用模式。隨著企業採用SaaS數量增長,控管需求也隨之浮現。沈志明以目前最多企業採用的Office 365舉例,業主通常希望員工只能存取公司配發的Office 365,以便隔絕公用與私人用途。Mvision Cloud採用的方式是針對雲端服務供應商配發的租戶ID進行控管,藉此從傳輸流量中加以限制,只能連線到特定雲端帳戶。「目前控管Office 365的帳戶ID機制已納入Mvision Cloud平台之上,此模式日後會持續實作支援控管SaaS。」

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!