[Forcepoint数位时代采访] 不只防骇客，还能揪内贼，企业做信息安全防御都靠它

无论是企业内部信息安全、还是物联网信息安全防御，近来不少信息安全厂商不约而同提到「使用者与实体设备行为分析」（User and Entity Behavior Analytics，UEBA）这个概念。网路安全供应商Forcepoint也预估，2018年将有更多信息安全长（CISO）会将导入UEBA作为优先项目，但UEBA和传统的信息安全防护解决方案有何不同？

什么是UEBA？

UEBA一词最早由市场研究机构Gartner在2015年提出，强调以使用者为核心，分析其与电脑、应用程式与网路等「实体」之间的关联性，透过机器学习判断正常行为的标准范围，可以更有效率且精准地找出异常行为。

「信息安全不只是建城墙，需要的是使用者为中心的安全防护。」Forcepoint北亚区技术总监庄添发解释，过去的信息安全防御机制，多是分析防毒软体、入侵防御系统（IPS）的日志和纪录，只处理单一的信息安全事件，但UEBA则是可串连人或装置在不同时间的行为模式，再用机器学习分辨出哪些属于高风险行为、哪些是正常业务流程。 透过UEBA也解决了以下三件事：

筛选出真正的高风险行为、降低警告次数

庄添发说明，虽然企业过去有资料外泄防护系统（DLP），但若单纯以资料为中心，需要很多单位处理这些资料、要投入调查的人力也很多，因此藉由UEBA把所有行为关联起来，如开始看求职网站、编辑履历表、电脑多了很多加密程式、曾试图把信息安全防护软体关掉等，综合评分后便能找出真正高风险的人。

Forcepoint北亚区技术总监庄添发认为，信息安全不只是建城墙，而是需要以使用者为中心的安全防护。

串联门禁系统，揪出企业内贼

「内贼是最难防御的，」庄添发说明，目前已有很多安全防御机制能够侦测和阻挡骇客使用的恶意工具，但内贼用的是公司IP环境，是合法授权使用的管道和设备，很难防御，因此过去只分析网路流量、封包、攻击模式，对企业防内贼是没帮助的。

庄添发举例，过去曾遇过企业有机密文件外流，但当事人可能会说这件事是骇客做的、电脑被入侵，不过他们以使用者行为为核心，将信息安全事件和门禁系统串在一起，找出这个人是否曾在诡异的时间进公司、存取哪些资料、透过什么管道传出去等，就能知道当事人是不小心违规、电脑被骇客入侵或是恶意将资料外流。

以上内容节录自数位时代官网文章：https://www.bnext.com.tw/article/47484/ueba-cyber-security-forcepoint-aruba