[iThome报导]Forcepoint新提出以人为中心的风险分析防护架构，超越传统DLP，让资料保护变得更自动

[罗正汉2018/5/19报导]

近年，网路安全大厂Forcepoint动作频频，像是去年新增了两条新产品线，分别是Forcepoint CASB（并购自Skyfence），以及Forcepoint UEBA（并购自RedOwl），在今年4月初举行的RSA 2018会议上，他们又正式对外发表了Human Point System防御平台，进而提出他们在2018年信息安全防护的新作法。

近日，于台湾举办的亚太区合作夥伴大会中，Forcepoint也以此为主轴，并进一步说明此概念。他们强调，这是以人为中心的行为分析，并将重点放在行为的意图上，而在防护作法方面，他们也对应发展出，可依风险自动调整政策的新型解决方案，名为动态资料保护（Dynamic Data Protection），可提供一个更进化的DLP防护策略。事实上，在今年3月的台湾信息安全大会上，Forcepoint也已经预告了这项新技术。

以Forcepoint的信息安全产品发展而言，这个品牌成立约两年多，主要产品线是以原本Websense的网页安全闸道、邮件安全闸道与DLP产品，以及Raytheon网路安全产品为主轴。

对应现有IT网路环境的威胁变化，后续他们则是透过并购方式，从Intel Security，取得Stonesoft次世代防火墙产品，加上先前提到的CASB与UEBA产品，建立起更全面的信息安全防护网。

尽管如此，鉴于现有企业IT环境的信息安全防护边界，正逐渐变得模糊，人为因素引发的安全问题，近年备受重视。传统的网路监控措施，成效可能不如预期，即便像是现在的信息安全防护，已经假设威胁发生在企业内部，但对于内部间谍仍无法有效的即时防护。

因此，Forcepoint这次提出的Human Point System防御平台，试图将安全防护提升至另一层面。从过去针对威胁事件本身，到转变为关注使用者行为，发展至今，更是聚焦在掌握行为的意图。

看起来，Forcepoint打算将行为与意图，视为现阶段网路信息安全的核心，期望跟上急速变化的网路威胁环境，并藉此提供相应的防护措施。

Forcepoint串连旗下安全产品，提出可依使用者风险动态保护的新型解决方案

在信息安全防护上，过往聚焦在威胁事件本身，近年许多信息安全业者开始延伸至关注使用者行为，现在，Forcepoint主打的Human Point System，更是从了解使用者行为的意图著手，统合旗下网路安全产的信息分析，像是网页/电子邮件安全、次世代防火墙，以及DLP、UEBA、CASB与Data Guard等，并提出了可依风险自动调整的新策略。

提出以人为中心的行为分析，并推出动态资料保护解决方案

相较于传统的信息安全策略，多半是藉由预先设定的DLP政策，在事发当下阻挡已知的恶意威胁，或是允许的合法行为。但这种二分法，容易遇到一些问题，像是非结构性的资料不易处理，还有许多行为，无法直接判定是好是坏。

而在Human Point System防御平台中，Forcepoint将焦点放在了解人与资料的互动过程，透过员工行为的模式，以及资料的流向，进一步从使用者行为的意图著手，来强化现有的防御体系。

更具体地说，他们的目标是要建立以「人」为中心的风险分析防护架构，帮助企业快速找出高风险因子，以保护企业的重要信息资产与营业秘密。

特别的是，Human Point System防御平台的出现，提供了一个依风险等级、自动调整政策的防护方案，也就是他们所谓的动态资料保护机制。

简单而言，系统将可持续衡量每个使用者的风险等级，一旦风险等级提高，将能自动调整至相应的安全政策，进而在更大风险发生之前，做出更即时的反应。反过来说，这种动态的防护措施，也是需要仰赖风险指数来协助判断。

基本上，Human Point System将串连起Forcepoint旗下所有产品，透过平台收集到的各层面信息，像是从网路防御、资料内容分析，以及本地端或云端发生的事件，再藉由机器学习、AI技术，透过Analytics引擎自动分析与关连，以理解资料在使用者、机器与帐户之间的互动状况，评量出每个使用者的风险指数。

据了解，在Forcepoint旗下的每个独立产品，都能开启Human Point Protection功能，也可透过共用的平台，将所有的事件统合处理，并能配合企业现有的系统来整合。虽然他们并未细部解释，如何将不同来源的信息，与使用者身分串连，但也看出他们要让旗下产品有更一致的管理策略，以及动态的防御机制。

可持续评量每个使用者的风险指数

简单来说，透过Human Point System防御平台，可将不同来源的信息，透过分析引擎自动关连，以持续评量出每个使用者的风险指数。同时，在Risk Adaptive防护机制下，将能自动执行相应的安全管控政策。

可快速找出高风险用户，并执行政策，提供更自动化的资料外泄防护

在动态资料保护上，Forcepoint也举例说明其效果。例如，当一般使用者将敏感内容的文件，复制到USB磁碟时，将可依据DLP政策，执行加密。

在此架构下，细部管制的作法如何实施？系统若侦测到该使用者有其他不妥的行为，像是将敏感文件复制到本机，在系统持续评量风险下，该使用者将从低风险群组提升到中级风险群组，这时，使用者再将敏感文件制到USB磁碟时，就会套用较严格的DLP政策，像是加密之外，还可以搭配使用者画面录影机制，将前后15分钟的操作录制保存。

如果系统又侦测到，使用者将档案上传到外部的云端档案储存服务时，这时评量出的使用者风险等级，将从中级升到高级，这时对应的DLP防护策略，可能就是将所有规则都设置为阻挡，让该使用者无法透过所有管道传出去。

因此，可在导致更大危机之前，弹性依风险调整员工的防护政策，做到主动防御。而过往的DLP防护，就没有如此弹性，多半仅仰赖既定的一种政策，或是管理者在事后以手动方式新增。

让DLP管控更具弹性，可自动依个人风险套用政策

在动态资料保护上，可依风险分级、持续评量与动态调整的方式，做到更细致的政策回应。管理者从Forcepoint Security Manager管理介面，可以看到这里提供了五个风险等级项目，可分别设定不同的处置动作。

突破传统作法的局限，让防护政策趋于主动与灵活

综合来看，以人为本的信息安全策略，近年已有不少信息安全厂商都在强调。从Focepoint这次推出的Human Point System防御平台来看，更可说是从使用者风险角度出发，再透过Risk Adaptive机制，带来更自动化的威胁预防作法。

其中的风险分级概念，就是关键。让过往不容易判断、具灰色地带的操作，可以有量化的指标，让系统能够依此判断，并套用相应的防护政策，进一步提升资料外泄防护的效果。

因此，相较于可将不同伺服器和设备的日志和事件记录集中的SIEM系统，Human Point System平台多了主动防御能力。对于没有足够人力分析处理这些信息的企业而言，这样的自动化功能应该有所帮助，而不用管理者一一介入。

当然，从关注使用者行为，到了解行为的意图，也有信息安全厂商采取类似的发展策略。而以现阶段而言，Focepoint这种以「人」为中心的风险分析防护策略，以及可以自动调整管控政策的机制，已经能让现有的DLP防护，可以有不同以往的新作法。

iThome报导原文连结：https://www.ithome.com.tw/tech/123159