Forcepoint 提出信息安全防护策略已经从传统仰赖「入侵指标」转变成仰赖「行为指标」

Forcepoint亚太区技术总监谭伟基提出传统的信息安全防护策略由仰赖「入侵指标」 #IoC (Indicator of Compromise) 转变成仰赖「行为指标」 #IoB (Indicator of Behavior)，安全策略由以往「外至内」转变为「内而外」的方法，需充分了解人或装置如何与机敏资料、智慧财产互动，也需了解「人」为企业最大资产，也是最大的风险来源。

入侵指标 （IoC） 是指任何有关恶意攻击的蛛丝马迹。可以是恶意网站和钓鱼网站的网址、鱼叉式网路钓鱼攻击邮件的主题或垃圾邮件发件人的 IP 地址等。IoC 亦包括使用非标准端口的网络流量、可疑的系统设定改动和异常的读/写量。IoC 的本质是以威胁为中心，在几十年来一直作为网络保安防护的基础。企业在针对入侵指标的防卫上普遍现已达到一定水平。

另一方面，行为指标 （IoB）侧重于用户行为和用户与数据的互动。具体而言，重点在于不当行为指标，因企业意识到大部分员工都尽忠职守，对企业构成的风险较低。透过比较用户/ 雇员/ 承办商/ 帐户在相同职位或同级组别中的行为，企业可以更早识别为业务带来高风险的行为，如「正在进行中」的数据盗窃等。

其实，我们对通过行为指标 （IoB）识别高风险的行为并不陌生。例如，香港企业如信用卡中心经常利用 IoB 侦测欺诈活动。若用户进行异常信用卡交易，如商品性质、商户、交易额或频率出现异常时， 信用卡中心会以手机短讯通知持卡人以确认交易。这都是应用行为指标（IoB）识别高风险行为的常见例子。

在 2020 年，我们预测更多企业意识到需要利用行为指标所提供的深入分析，改善传统以入侵指标为主的防御机制。行为指标可以更有效保护于现代网络环境中无处不在的数据。企业的网络安全策略会由从外致内（侦测外部攻击如何穿透外围防御）转变为由内而外的方法（了解内部存在的风险以及防止数据被盗的重要性，不论是由谁、以那一种设备、传输媒介或云端应用程式外泄）。

能够充分了解个人或装置如何与敏感数据及知识产权互动，绝对是企业成功防护的重要元素。在数码转型的大趋势下，企业可以透过分析其客户、以致员工的行为去找出行为指标（IoB），从而避免因身份盗窃而导致账面和声誉上的损失。网络保安并没有灵丹妙药，因风险永远存在，但我们可以通过整合行为分析和了解「人 ─ 企业最大的资产和最大的风险来源」，从而提升安全水平。