[媒体报导]Forcepoint 网管人8月封面故事专访「三角防御力抗资料外泄」

达友科技代理的Forcepoint北亚区技术总监庄添发接受网管人杂志专访，谈及Forcepoint统整旗下Websense等产品技术，结合Websense、Stonesoft、Raytheon（雷神）产品技术新成立的Forcepoint，正逐步将DLP防御能力扩展至现代企业常见的云端与行动端点应用模式。

总监庄添发观察到云端应用模式正日渐普及，例如在台湾常见的作法是把Exchange系统先迁移到公有云平台，同时采用Office 365云端服务编辑文件，并直接把档案储存在OneDrive。既然邮件系统、文件应用软体皆已改为云端服务，DLP方案自然得跟上，因此Forcepoint亦提供Azure平台的TRITON AP-Email，为Exchange Online建立安全管控；Office 365与OneDrive的应用，则透过TRITON AP-Data，自动Discover云端储存空间存放的档案，以免机敏资料被有意或无意地存放在外部公有云。 

目前可定期执行扫描公有云平台的储存服务，除了支援OneDrive，亦包含Box、Salesforce.com、Google Apps。但若为企业自建的私有云平台，则可透过Forcepoint开放的API相互整合，当资料要传送到云端平台时，会先送到DLP引擎执行资料分析，即可产出反馈，判断是否允许传送。 

Forcepoint北亚区技术总监庄添发强调，不论IT环境如何转变，最可能被利用来执行渗透的闸道端、网页应用、邮件服务管道仍须严加看管，让资料外泄风险降到最低。

经整并后的Forcepoint，还可进一步运用原本于雷神旗下的SureView Insider Threat，拥有记录使用者行为资料的能力，再透过SureView Analytics执行日志资料分析，找出高风险的用户，则可让保护能力更加提升。「一旦信息安全事件发生，欲详加调查事件发生的来龙去脉，需要专业人力介入执行，即可搭配SureView Analytics资料分析技术，汇整Log后执行分析，先找到高风险用户，缩小可疑的范围。」庄添发说。 

至于APT威胁，势必需要搭配TRITON AP-Endpoint一并侦测。因为当骇客渗透入侵成功后，最后势必会设法将盗取的资料传递回中继站，此恶意连线行为可被流量检查技术发现，并且阻断。对此，即将推出的AP-Endpoint新版中则增加了应用程式分析机制，可自动拦阻未知加密格式、未知传送资料等行为。入侵者在渗透成功后，若采以客制化恶意程式执行扩散等动作，经过端点代理程式分析后发现该执行程式从未见过，将立即阻挡该行为，以免遭受APT攻击不自知。 

庄添发说明，信息安全事件发生后，专业人力调查与分析需要一段时间，且资料也已外泄，即使经过调查后针对该起攻击行为撰写了新规则，下次也未必会再出现，因此企业仍须在事前尽可能预防，可透过内容感知侦测与使用者行为情境分析机制，来协助APT防御。

网站报导：http://www.netadmin.com.tw/article_content.aspx?sn=1608010002