Forcepoint发表iThome 台湾信息安全大会领航观点：善用UEBA与安全闸道云端服务，建立智能信息安全分析能量

近几年诸如进阶持续性威胁(APT)、勒索软体等顽强威胁层出不穷，不禁让许多企业深感纳闷，前述恶意程式的入侵途径，不外电子邮件或网页，但针对两大管道明明已部署相关安全闸道，最终仍告失守，而另一方面，资料保护的议题从未停歇，营业秘密资料与客户资料的泄密事件层出不穷，显见当前的安全防御，其间一定存在亟待补强的安全缺口。

Forcepoint北亚区技术总监庄添发认为，此安全缺口即是「Analytics - 智能分析」，而智能分析可望成为2017年最热门的信息安全重点，主要是因为多数企业逐渐意识到，唯有让信息安全设备本身具有足够智能，才能一方面快速提升设备侦测分析的能力，一方面减少大量人工手动的分析时间，才可迅速捕捉到进阶威胁或潜在风险，继而启动早期预警，有效保护昂贵的数位资产，例如营业秘密资料。

至于如何补强智能分析，庄添发点出两个关键提示，一是UEBA(User and Entity Behavior Analytics)，意即使用者与设备(Entity)之间行为分析，另一是善用云端服务。他进一步指出，企业推动信息安全防护，主要目的在于资料保护，传统资料保护技术侧重于内容分析，仅仅透过资料模板(Pattern)比对来侦测并阻止资料外泄，对于事件的分析，缺乏前因后果的信息、往往需要大量的人工调查，才能还原真相，使企业无力即时防堵资料泄漏情事。

结合UEBA与DLP，让资料窃贼无所遁形
唯今之计，企业可透过UEBA与DLP相辅相成，藉由UEBA于平时持续监测使用者行为，并结合智能分析，经由权重计分，随时产生高风险使用者排序，以利管理者向下钻取(Drill Down)这些相关异常行为细节，甚至录制特定时点的操作影片，勾勒资料外泄预谋行动的样貌，发挥事前预警功效，让企业得以在营业秘密外泄前采取防护措施。

庄添发表示，Forcepoint因应UEBA主题，除了增加使用者行为分析政策的进阶AP-DATA产品外，也推出SureView Insider Threat(SVIT)内部威胁防护方案，此技术多年来已成功协助众多美国企业与政府机构有效侦测与防御内部威胁；譬如能在任何使用者出现异于正常基线(Baseline)的行径时，便予严密监测并发出警讯，即使若干使用者艺高胆大，懂得利用安全政策的死角，蓄意规避现有侦测机制，意图输出机密资料，亦无所遁形。

有关善用云端服务部份，旨在针对企业总部本地端闸道器鞭长莫及之环节，比方说行动使用者，乃至分支机构或远端办公室，将来自于这些环节的Web流量，运用云端服务的检测与过滤机制，以期达到等同于本地端的保护效果，顺势将企业信息安全防护的脆弱点全数补强。

对此Forcepoint推出安全闸道云端服务，协助企业保护行动用户及远端办公室，同时不管是本地或云服务，针对APT与勒索软体开发智能分析模组，提升邮件与网页安全网络的防御能力，在2016年成功帮助诸多企业防范勒索软体等攻击事件，成效可见一斑。

►Forcepoint北亚区技术总监庄添发指出，企业如何提升智能分析（Analytics）的质与量，一是使用UEBA技术，获得更深入的行为信息，另一是善用云端服务，扩大防御的涵盖面。

iThome报导全文连结：