【2016 內部威脅管理焦點】以使用者行為分析強化高權限用

william77

過去企業著重在於從外部滲透攻擊的防範，但由於高權限使用者身分難以管理，一旦被入侵，後果不堪設想。因此，最近不少內部管理的解決方案，提供使用者行為分析工具，協助企業確認這些活動的合理性。

BalaBit售前支援工程師Viktor Varga引用Verizon研究報告指出，有55%最高權限行為遭到濫用，因此，他們開始將使用者行為分析（UBA）機制，應用在特權帳戶活動的情境識別中。

由於近年來企業內部資料外洩的情況時有所聞，而許多事件起因則是內部員工所為，例如3年前宏達電3位高階主管，竊取公司商業機密，想要藉此自立門戶的案例，以為神不知鬼不覺，差一點就成功。因此，內部使用者帳號的管理，近年來逐漸受到企業的重視。
強化內部威脅追蹤，納入使用者行為分析加以判斷
這類具有特權帳號管理（PAM）或是文件存取控管的工具，為了及早發現可疑行為，許多解決方案開始提供使用者行為分析（User Behavior Analytics，UBA）的選購模組。這類模組，藉由平時收集使用者的行為，逐漸取代原本PAM內建的辨識規則，以達到更精確、更及時的判斷。事實上，UBA並非全新的概念，以往企業經常在市場行銷上，使用這樣的分析工具，歸納客戶的喜好與消費習慣，不過，在資訊安全領域應用UBA，則是近年來出現的趨勢。
事實上，UBA近期甚至開始演變為使用者與實體設備（Entity）行為分析的UEBA（User and Entity Behavior Analytics），更加強調使用者行為與設備之間的關連。
有些特權帳號管理的解決方案，提出了情境識別的概念，比較具體的做法，例如像是PAM廠商BalaBit，他們就提出藉由偵測使用者的數位足跡，包含所在的地理位置，以及使用電腦的作業系統、螢幕解析度、滑鼠點擊行為等等，進行情境辨識，假如發現異常，必要時甚至可直接阻擋。
值得注意的是，在現有的資安內控解決方案之外，也有Splunk這種大數據分析工具加入戰局，這個軟體支援與旗下的UBA工具整合，藉由擴充軟體Splunk Enterprise Security，協助管理者追蹤企業內部資安的問題。
對於企業而言，以往來自外部的威脅，一直是防範的重點，但事實上，使用者的行為，其實也是值得探討，無論是前述提到的防範員工監守自盜，還是駭客實行APT攻擊後，取得高權限帳號控制權，終在系統之中，都是以合法的帳號執行有問題的操作。
因此，UBA機制並不單只是防內賊，也對於分析合法帳號是否並非擁有者本人使用，能夠進一步探討。
這種機制主要運用了機器學習，因此，它並不需要經由明確的程式定義學習範圍、不依賴已知的特徵與規則，並且具備分析數據背後的趨勢等優點。
內部權限控管仍需要持續落實
但企業想要以UBA增強內部資安管理，前提是已經實施使用者權限的管理，因此，對於企業而言，像是PAM或文件存取權限管理，是必要條件，而能夠達到這些權限控管，首先還是要回收與盤點這類高權限帳號。
不過，目前在臺灣，會重視這種內部控管機制的公司，多半以金融業為主，尤其是必須符合法規要求的前提，因而執行較為徹底。企業內部權限的控管其實相當重要，只是由於沒有法規強制要求，大部分的企業尚未執行，因此，臺灣企業對於這方面管理的意識，還要再提升。