Forcepoint™（原Websense）- Insider Threat / FIT

“为消弭内部人员造成的威胁，您需要有效机制以察觉这些威胁的发生与情境。”

依据调查，当前的信息安全事件的发生，多数是内部员工有意或无意所造成。因此当前信息安全的风险已经由单纯外部攻击转向利用内部人员来达成渗透。因此组织与企业可以考虑透过布署 Insider Threat机制，来利用新的科技以抓取必要的使用者行为信息，并进行自动化的威胁分析，将威胁发生时的事前、事中、事后的情境还原出来。不管这些使用者是不小心的、缺乏警觉的，还是有恶意意图的，期望在大规模事件威胁发生前即能够加以侦测并进行防范。

DATA CAPTURE 资料撷取

Forcepoint  Insider Threat 采用轻量化的端点Agent程式，在不干扰使用者生产力的前提下进行资料的撷取。系统会监控资料使用时的位置与移动，以及该使用者对于资料的存取、异动与传递之动作与行为。系统并且能警觉是否有遭受入侵的各种迹象，并予以警示。系统具备对敏感资料与智慧财产进行内容指纹学习，并且自动化追踪这些资料资产的使用情况。

收集的这些行为资料，可以透过影片播放的方式进行检视。并同步检视当时的键盘按键输入、滑鼠指标移动、文件开启、网页浏览等行为。这些信息都可以作为使用者所作行为无法否认的证据力。

BEHAVIORAL AUDIT 行为式稽核

该产品已经在多个政府单位与财经100的企业中，布署超过百万台端点并进行保护的长期经验。这表示我们确切的知晓各种内部威胁的型态。我们将这些理解到的知识，转化为知识库，透过内建的监控政策范本，写入到产品中，以便客户可以快速的建立内部威胁防御计画。

我们的技术也会透过监控期间，持续建立正常行为的Baseline基准。并且据此分析出行为有差异的内部人员，并自动化归类谁是有高风险的使用者族群。系统并能自动化的将这些关联信息，以直觉并视觉化的方式透过仪表板介面呈现，让即使非技术人员也能清晰易懂。

FOCUSED INVESTIGATION 聚焦于调查的功能

当侦测到明显的违规事件，您可以聚焦于该事件或使用者进行一系列的调查。Forcepoint  Insider Threat会提供所有必要的细节与解析，并提供事件的各种情境信息，让您的团队可立即评估该事件的威胁严重性，进而透过政策的设定以快速消弭威胁，并避免再度发生。

Forcepoint  Insider Threat 可以提供下列一般方案无法侦测到的状况:

• 针对智慧财产窃取、舞弊、刻意破坏…等恶意行为进行侦测，这些经常是传统访间资料外泄方案无法识别的行为。
• 移动使用者或内部人员，会尝试将自己离线，或使用这种加密方式以规避侦测。
• 利用复杂的应用程式的可疑使用者行为，包括电子邮件程式或自行安装Enterprise Risk Management (ERM)与其他程式。
• 提供”领先指标”方式的行为侦测，例如当使用者尝试抓取萤幕画面(Screen Capture) 并且马上将画面储存到USB随身碟。

BENEFITS 预期效益

• 追踪端点使用者行为与系统的各种活动。
• 将整体组织正常活动行为进行自动化学习以建立Baseline基准。
• 透过使用者行为分析(user behavior analytics)，将风险量化并加以呈现。
• 提供事件的重播呈现，包刮于端点进行的全事件画面操作录影能力。
• 侦测藉由加密来规避检查政策的活动，不管是藉由Web流量，还是 Email 或夹带档案。
• 降低传统您的人员需要仰赖技术上的专业才能完成调查的作业。
• 当有非故意的情况下造成的资料外泄，可以据此进行信息安全意识的宣导，以消弭该类风险。
• 可以与Forcepoint的资料外泄防护方案进行无缝的紧密整合。以提升DLP能力。
• 即使离线的使用者也持续不间断的实施监控的能力。
• 高稳定性、成熟技术的端点，可以满足规模性的扩充布署。