產品應用
ObserveIT ITM 內部威脅偵測及阻絕之應用

威脅偵測範例項目

ObserveIT ITM 應用

異常時段登入系統
  • 非正常時段遠端或本機登入行為。
  • 非正常遠端來源 IP之登入行為。
瀏覽內部機敏資訊平台或外部高風險網站
  • 內部機敏資訊平台及高風險外部網站URL瀏覽行為(可匯入自訂黑白名單,或整合NetStar Intersafe 網站分類資料庫)。
未經授權複製機敏資料至外接儲存裝置或上傳至外部雲端硬碟
  • 使用FTP應用程式、指令或FTP網址之行為。
  • 檔案拖拉/快捷鍵複製至外接儲存裝置或雲端硬碟等行為。
寄送機敏資料至外部信箱或與競業進行聯繫
  • 連結雲端硬碟、Dropbox等URL、Email收件者帳號、主旨關鍵字、Email夾檔點選動作及大量複製檔案等觸警行為。
未經授權之安裝/解除程式、帳號建立、異常執行序、提權等
  • 非白名單之應用程式與執行序之使用行為。
  • 執行Setup、Installer等應用程式之行為。
  • 使用管理工具建立帳號之行為。
存取機敏資料夾或共享磁區、編輯文件與圖片
  • 非授權帳號存取特定資料夾、或開啟/複製特定文件與圖片之行為。
應用程式、機敏資料夾、內/外部網站之機敏字串搜尋
  • 於應用程式、機敏資料夾、網站URL等搜尋機敏字串之行為 ( In-App分析技術)。
  • 鍵盤輸入敏感性字串之行為 (Key-Logger)。
使用LINE、Skype或Messenger等社交應用程式
  • 登入應用程式行為。
  • 傳送與複製特定檔案等觸警行為。
  • 鍵盤輸入敏感性字串之行為 (Key-Logger)。

ObserveIT ITM 資料外洩預測之應用

DLP範例項目

ObserveIT ITM應用 – 偵測、告警、阻絕及視覺化側錄

上傳檔案至外部雲端平台及應用程式
  • 雲端空間 – Dropbox、Google Drive、iCloud。
  • Office365、OWA、Gmail、Webmail等。
於內部機敏資訊平台上傳/下載檔案
  • 內/外部Portal,如 : 醫療網、網路銀行、企業SharePoint、Salesforce、CRM 等。
可卸除式儲存裝置使用監控
  • 偵測可卸除式儲存裝置廠牌、型號、序號及標籤。
  • 偵測下載至可卸除式儲存裝置檔案之軌跡與來源。
  • 建立可卸除式儲存裝置黑白名單及告警規則。
Email資料外洩防禦及監控
  • 寄/收件者郵件地址、主旨、夾檔之可視性。
  • 網域名稱、檔案大小之黑名白單監控政策。
  • 郵件夾檔上傳來源及下載後歷程追踨。
檔案列印、複製/貼上
  • 非上班時段大量列印、複製/貼上。
  • 未授權檔案列印、複製/貼上、滑鼠右鍵貼上。
Key-Logging告警/偵測/控管
  • 鍵盤特殊功能鍵、組合鍵 - PrtScr, [Alt-PrtScr], [Cmd-Shift-3] , CTRL-V, CMD-V。
複製/貼上機敏文字
  • 複製/貼上疑似信用卡號碼或機敏檔案內文字。
存取未授權資料夾及檔案
  • 存取未授權資料夾、UNC路徑。
執行惡意/駭客工具
  • 使用惡意工具之即時告警 : Nessus、Netsparker、Maltego等。
執行圖像隱碼術工具
  • 使用隱碼術工具之即時告警:xiao_steg、camouflage等。
於Linux/Unix系統執行檔案傳送指令
  • 偵測Linux傳送指令,如ftp、scp、rsync、GET。
使用P2P工具
  • 偵測P2P工具使用。

ObserveIT ITM 資安事件調查與回應之應用

資安事件調查需求

ObserveIT ITM 應用

即時的高可視性
  • 細膩的 Metadata + 智慧型 Screenshot Capture 側錄技術 + User Session Log,完整的使用者活動軌跡留存。
  • 以 Metadata 關鍵字快速精確搜尋事件每一關聯行為發生點之側錄畫面軌跡。
  • 側錄工作階段增加端點之當地時間戳記,方便管理人員校對時間。
  • One-Click 自動切換檔案日誌至端點日誌之顯示方式。
  • 多元化Agent:Windows、Mac、Linux、AIX、Unix。
加密及不可否認性
  • 所有Metadata及視覺化記錄除了MS SQL本身之加密機制法,再以AES Like方式存放,確保證據無法竄改。
  • 提供專屬加密播放器回播加密格式側錄資料,確保證據之不可否認性。
  • 資料傳輸過程中可採SSL或TLS加密機制,強化資料不被盜取或竄改。
  • 所有Agent均符合FIPS規範。
Google-like 搜尋
  • 設定各種不同的搜尋條件。
  • 可依時間、使用者、內含文字、作業系統、Metadata欄位快速搜尋相關Session並回播完整操作過程。
注重隱私、去識別化
  • 個資去識別化。
  • 可自訂管理者瀏覽項目之權限。
  • 回播操作過程時可額外設定回播密碼。
  • 第二道身份驗證機制,確保查核者身份之真實性。

ObserveIT ITM 遠距/分散/居家/辦公之應用

遠距/分散/居家辦公之需求

ObserveIT ITM 應用

維持妥適的資安防護措施並符合各類規範
  • 於使用者電腦或虛擬主機等裝置安裝Agent,進行所有接觸機敏資料與資料庫之授權使用者的行為偵測、分析、即時告警、異常阻絕與側錄,加強前端設備與後端機房之資安防護與內部威脅可視性與回應機制,落實風險管理措施,有助於針對已知風險及未知內部威脅進行: 風險辨識、風險分析、風險評量、風險處理。
  • 具備內部威脅進階分析能力,完整操作過程之稽核報表如:使用者操作行為報表、核准工單操作報表、重要變更事項報表,非上班時段登入操作行為報表等,並提供Google like搜尋機制針對稽核抽查時,可依關鍵動作、Metadata、核准之工單快速精準搜尋相關Session與關聯性歷程,並回播完整操作過程。
  • ObserveIT ITM 提供完整操作過程之稽核報表。
防範機密資料不外洩
阻絕使用者異常行為
資安事件時,快速而有效地調查與回應
管理並維持員工的生產力


ObserveIT ITM 法令遵循之應用

ISO27001 控制項目 (部份)

ObserveIT ITM應用

  • A.14.2 開發與支援過程的安全:確保資訊安全被整合至資訊系統開發生命週期之設計與實施過程之中。
  • A.14.2.7 委外開發:組織應監督與監視委外系統開發的活動。
  • A.16.1 資訊安全事故與改進的管理:確保資訊安全事故管理之一致與有效的作法。
  • A.16.1.7 證據的收集:組織應對可作為證據之資訊,明訂適用的識別、收集、獲取及保存程序。
  • A.18.1.3 記錄的保護:應依據法律、法規、契約及營運要求,保護記錄免於遺失、毁損、偽造、未授權的存取與發佈。
  • A.18.1.4 個人可識別資料隱私及保護:應遵循相關的適用法令與法規要求,確保隱私權及人識別資訊的保護。
  • ObserveIT ITM 具備記錄使用者於伺服器、應用系統或終端設備上所有活動之完整軌跡的能力
  • ObserveIT ITM 可藉由介面訊息告知使用者正在進行側錄與分析,有助於內規與法令之宣導。
  • ObserveIT ITM 之工作階段與記錄均加密保護以防範未經授權之存取,管理人員對於側錄資料之存取均內建有稽核資訊。
  • ObserveIT ITM 之記錄為不可否認之鑑識資料,可增強證據能力。

SWIFT國際組織CSP控制項目 (部份)

  • 1.1 SWIFT Environment Protection  SWIFT 環境保護 [必要]
  • 1.2 Operating System Privileged Account Control 作業系統最高權限帳戶控制 [必要]
  • 2.6 A Operator Session Confidentiality and Integrity 操作人員作業機密與完整性 [建議]
  • 4.1 Password Policy 密碼政策 [必要]
  • 5.1 Logical Access Control  邏輯存取控制 [必要]
  • 6.1 Malware Protection  預防惡意軟體 [必要]
  • 6.4 Logging and Monitoring 記錄與監控 [必要]


符合國際規範之加密機制,確保資料之安全及不可否認性

  • 所有Metadata及視覺化記錄除了採用Microsoft SQL Server本身之加密機制,再以AES Like 安全加密方式存放,確保證據無法竄改,具備證據之不可否認性。
  • 提供專屬加密播放器回播加密格式側錄資料,確保回播過程之安全性。
  • 資料傳輸過程中採SSL或TLS加密機制,資料傳輸時無法盜取或竄改。
  • 所有 Agent 均符合 FIPS 國際安全規範,端點資料安全無虞。

隱私及去個資識別化機制,符合國際個資隱私之規範遵循

  • 個資去識別化,確保個人資料不外露。
  • 可自訂管理者瀏覽項目之權限,避免管理或稽核人員獲取權限以外之個資。
  • 回播操作過程時可額外設定回播密碼。
  • 內建申請流程,經授權後方可進一步檢視資料內容。
  • 符合 PCI, HIPAA, FISMA, GDPR & CCPA 國際遵循規範對於個資及隱私之要求。




                                                             

ObserveIT ITM - A People-Centric Approach to Managing Insider Threats  

以「人」為中心的內部威脅管理是企業組織最有效的資安防禦策略,藉由影片所介紹之Always-On監控方式,實際案例介紹 ObserveIT ITM 即時掌握使用者活動內容且兼顧隱私又符合法令遵循,達成及時回應的資安防禦目標。



Live Demo:A People-Centric Approach to Insider Threat Management
 

影片介紹如何運用 ObserveIT ITM 達成以下資安管理目標:

  • 有效減少事故調查時間 60~90%。
  • 運用使用者活動與檔案活動軌跡之關聯性,提前偵測內部威脅有關的資安事故。
  • 如何與組織內部關係人有效溝通並衡量資安風險。