產品應用
ObserveIT 內部威脅偵測及阻絕之應用

威脅偵測範例項目

ObserveIT應用-偵測、告警、阻絕及視覺化側錄

異常時段登入系統
  • 非正常時段遠端或本機登入行為。
  • 非正常遠端來源 IP之登入行為。
瀏覽內部機敏資訊平台或外部高風險網站
  • 內部機敏資訊平台及高風險外部網站URL瀏覽行為(可匯入自訂黑白名單,或整合NetStar Intersafe網站分類資料庫)。
未經授權複製機敏資料至外接儲存裝置或上傳至外部雲端硬碟
  • 使用FTP應用程式、指令或FTP網址之行為。
  • 檔案拖拉/快捷鍵複製至外接儲存裝置或雲端硬碟等行為。
寄送機敏資料至外部信箱或與競業進行聯繫
  • 連結雲端硬碟、Dropbox等URL、Email收件者帳號、主旨關鍵字、Email夾檔點選動作及大量複製檔案等觸警行為。
未經授權之安裝/解除程式、帳號建立、異常執行序等
  • 非白名單之應用程式與執行序之使用行為。
  • 執行Setup、Installer等應用程式之行為。
  • 使用管理工具建立帳號之行為。
存取機敏資料夾或共享磁區、編輯文件與圖片
  • 非授權帳號存取特定資料夾、或開啟/複製特定文件與圖片之行為。
應用程式、機敏資料夾、內/外部網站之機敏字串搜尋
  • 於應用程式、機敏資料夾、網站URL等搜尋機敏字串之行為 ( In-App分析技術)。
  • 鍵盤輸入敏感性字串之行為 (Keylogger)。
使用LINE、Skype或Messenger等社交應用程式
  • 登入應用程式行為。
  • 傳送與複製特定檔案等觸警行為。
  • 鍵盤輸入敏感性字串之行為 (Keylogger)。

ObserveIT 資料外洩預測之應用

DLP範例項目

ObserveIT應用 – 偵測、告警、阻絕及視覺化側錄

上傳檔案至外部雲端平台
  • 雲端空間 – Dropbox、Box、Google Drive、iCloud。
於內部機敏資訊平台上傳/下載檔案
  • 內/外部Portal,如 : 醫療網、網路銀行、企業SharePoint、Salesforce、CRM 等。
Web Mail 夾檔上傳/下載
  • Office 365、OWA、Gmail、Webmail 等。
檔案列印
  • 非上班時段大量列印。
  • 未授權檔案列印。
檔案複製
  • 非上班時段大量複製。
  • 未授權檔案複製。
複製機敏文字
  • 複製疑似信用卡號碼。
  • 複製機敏檔案內文字。
存取未授權資料夾及檔案
  • 存取未授權資料夾。
  • 存取未授權UNC路徑。
執行惡意/駭客工具
  • 使用惡意工具之即時告警 : Nessus、Netsparker、Maltego等。

執行圖像隱碼術工具

  • 使用隱碼術工具之即時告警 : xiao_steg、camouflage 等。

於Linux/Unix系統執行檔案傳送指令

  • 偵測Linux傳送指令,如 : tftp、scp、rsync、GET。

使用P2P工具
  • 偵測P2P 工具使用。

ObserveIT 內控稽核之應用

內控稽核項目

ObserveIT 內控稽核之項目

完整操作過程之稽核報表

ObserveIT可藉由metadata文字及視覺記錄快速產生多種稽核及覆核報表。如 :

  • 使用者操作行為之報表。

  • 核准工單操作之報表。

  • 重要變更事項之報表。

  • 非上班時段登入操作行為之報表。

Google like搜尋機制

  • 針對稽核抽查時,可依關鍵動作、Metadata、核准之工單快速搜尋相關Session並回播完整操作過程。

第二道身份驗證機制

  • 針對共用帳號如”administrator或root”登入時, 可進行第二道認證機制確認真實身份。

多種管理/稽核角色

  • 管理平台可設定管理者、維護人員及稽核角色並可整合內部Windows AD帳號。

  • 可自訂管理者瀏覽項目之權限

  • 回播操作過程時可額外設定回播密碼

資料加密存放

  • 所有Metadata及視覺化記錄均以AES Like方式存放,確保證據無法竄改

  • 提供專屬加密播放器回播加密格式側錄資料,確保證據之不可否定性,並加強證據力

告知或告警訊息

教育訓練或資安政策宣導,有助於使用者行為更為謹慎

  • 對使用者正進行側錄之訊息告知

  • 觸發規則時予以告警訊息

  • 違反規則時予以封鎖訊息並要求填寫事由


資通安全法實施細則

第六條

本法第十條、第十六條第二項及第十七條第一項所定資通安全維護計畫,應包括下列事項:
一、七[略]
八、資通安全防護及控制措施。
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。

第八條
本法第十四條第三項及第十八條第三項所定資通安全事件調查、處理及改善報告,應包括下列事項:
一、事件發生或知悉其發生、完成損害控制或復原作業之時間。
二、事件影響之範圍及損害評估。
三、損害控制及復原作業之歷程。
四、事件調查及處理作業之歷程。
五、事件根因分析。
六、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施。
七、前款措施之預定完成時程及成效追蹤機制。

ISO27001

A.14.2 開發與支援過程的安全:確保資訊安全被整合至資訊系統開發生命週期之設計與實施過程之中。A.14.2.7 委外開發:組織應監督與監視委外系統開發的活動。A.16.1 資訊安全事故與改進的管理:確保資訊安全事故管理之一致與有效的作法。
A.16.1.7 證據的收集:組織應對可作為證據之資訊,明訂適用的識別、收集、獲取及保存程序。
A.18.1.3 記錄的保護:應依據法律、法規、契約及營運要求,保護記錄免於遺失、毁損、偽造、未授權的存取與發佈。
A.18.1.4 個人可識別資料隱私及保護:應遵循相關的適用法令與法規要求,確保隱私權及人識別資訊的保護。

個人資料保護法施行細則

本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護 事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。 前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
 九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。 

金融機構辦理電腦系統資訊安全評估辦法

(二)、網路活動檢視檢視網路設備、伺服器之存取紀錄及帳號權限,識別異常紀錄與確認警示機制。檢視資安設備(如:防火牆、入侵偵測系統、防毒軟體、資料外洩防護等)之監控紀錄,識別異常紀錄與確認警示機制。 檢視網路封包是否存在異常連線或異常網域名稱解析伺服器(Domain Name System Server , DNS Server)查詢,並比對是否為已知惡意IP、中繼站或有符合網路惡意行為的特徵。
(五)、安全設定檢視檢視伺服器(如網域服務Active Directory)有關「密碼設定原則」與「帳號鎖定原則」設定。檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠,連線設定是否有安全性弱點。檢視系統存取限制(如存取控制清單Access Control List)及特權帳號管理。檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。
檢視金鑰之儲存保護機制與存取控制。

SWIFT 國際組織 CSP 控制項目

1.1 SWIFT Environment Protection SWIFT 環境保護【必要】

1.2 Operating System Privileged Account Control 作業系統最高權限帳戶控制【必要】

2.6 A Operator Session Confidentiality and Integrity 操作人員作業機密與完整性【建議】

4.1 Password Policy 密碼政策【必要】

5.1 Logical Access Control 邏輯存取控制【必要】

6.1 Malware Protection 預防惡意軟體【必要】

6.4 Logging and Monitoring 記錄與監控【必要】

電子支付機構資訊系統標準及安全控管作業基準辦法

第10條 電子支付平臺之設計原則應符合下列要求:

一、 網際網路應用系統設計要求:
(九) 應設計個人資料檔案及資料庫之存取控制與保護監控措施。
(十) 應建置防偽冒與洗錢防制偵測系統,建立風險分析模組與指標,用以於異常交易行為發生時,即時告警並妥善處理。該風險分析模組與指標應定期檢討修訂。
五、 約定連結存款帳戶付款設計要求:
(五) 存取控制:應建立管控機制,限制非授權人員或程式存取私鑰及本款作業之相關程式。

 

第12條 電子支付平臺之系統維運人員管理應符合下列要求:

三、 硬體設備、應用軟體、系統軟體之最高權限帳號或具程式異動、參數變更權限之帳號應列冊保管;最高權限帳號使用時須先取得權責主管同意,並保留稽核軌跡。
四、 應確認人員之身分與存取權限,必要時得限定其使用之機器與網路位置(IP)。
五、 於登入作業系統進行系統異動或資料庫存取時,應留存人為操作紀錄,並於使用後儘速變更密碼;因故無法變更密碼者,應建立監控機制,避免未授權變更,並於使用後覆核其操作紀錄。
七、 帳號應採一人一號管理,避免多人共用同一個帳號為原則,如有共用需求,申請與使用須有其他補強管控方式,並留存操作紀錄且應能區分人員身分。
九、 加解密程式或具變更權限之公用程式(如資料庫存取程式)應列冊管理並限制使用,該程式應設定存取權限,防止未授權存取,並保留稽核軌跡。

 

第13條 電子支付作業環境之個人資料保護應符合下列要求:

五、 應建置留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以追蹤個人資料使用狀況,包括檔案、螢幕畫面、列表。
六、 應建立資料外洩防護機制,管制個人資料檔案透過輸出入裝置、通訊軟體、系統操作複製至網頁或網路檔案、或列印等方式傳輸,並應留存相關紀錄、軌跡與數位證據。
七、 如刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄:
(一) 刪除、停止處理或利用之方法、時間。
(二) 將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原因、對象、 方法、時間,及該對象蒐集、處理或利用之合法依據。

 

第15條 電子支付平臺之實體安全應符合下列要求:

七、 機房管理應具備與機房相當之操作環境,或獨立可管制人員操作系統與設備之監控室。
(一) 應具門禁與監視設備,且必須留存連線及使用軌跡,並定期稽核管理。

 

第18條 電子支付作業環境之網路管理應符合下列要求:

七、 經由網際網路連接至內部網路進行遠距之系統管理工作,應遵循下列措施:
(一) 應審查其申請目的、期間、時段、網段、使用設備、目的設備或服務,至少每年一次。
(三) 變更作業應加強身分認證,每次登入可採用照會或二項(含)以上安全設計並取得主管授權。
(五) 應建立監控機制,留存操作紀錄,並由主管定期覆核。

 

第21條 電子支付作業環境之資訊安全事故管理應符合下列要求:

一、 應將各作業系統、網路設備及資安設備之日誌及稽核軌跡集中管理,進行異常紀錄分析,設定合適告警指標並定期檢討修訂。
二、 應建立資訊安全事故通報、處理、應變及事後追蹤改善作業機制,並應留存相關作業紀錄。
三、 如有資訊安全事故發生時,其系統交易紀錄、系統日誌、安全事件日誌應妥善保管,並應注意處理過程中軌跡紀錄與證據留存之有效性。

其他國際性重要法令及遵循

  • GDPR : General Data Protection Regulation。
  • HIPPA : Health Insurance Probability and Accountability Act。
  • PCI ISS : Payment Card Industry Data Security Standard。
  • FISMA : Federal Information Security Management Act。
  • NERC : North American Electric Reliability Corporation。

企業組織面對資安案件常面臨的問題

不知如何有效的著手調查,致使調查過程曠日費時。
常以Log或文字資料佐證,卻常因證據不完備而被法院駁回或不予起訴。
欠缺有效及時的數位證據取得方式及工具,故無法分辨使用者異常行為或蓄意目的,導致錯失事前防範、事後還原人事時地物的關鍵時機,造成無可彌補的財務與商譽損失。


勤業眾信建議: 「企業組織應儘早確保數位證據之完備性,提早異常行為的預警機制建立,當資安案件發生時,能夠及時進行數位證據保全與封存,以防止證據遭到滅失或竄改」。


數位證據具備證據能力之關鍵

               …符合上述始可認定為具備「證據能力」!               資料來源:士林地檢署 邱獻民檢察事務官組長


數位證據鏈

               視覺化數位證據強化證據能力與證據價值

Security Foundry ObserveIT Prouduct Overview Video!

ObserveIT,首屈一指的內部威脅解決方案,協助企業組織內的資安團隊有效地偵測內部威脅,完全掌握使用者的行為,將資料外洩防禦時間軸往前提。即使偵測到資安威脅,ObserveIT 可以協助資安人員在數分鐘之內完成調查。


ObserveIT − Full Visibility to Prevent User Based Risk

ObserveIT 獨一無二以人為中心的資安解決方案,不論是影片回播或是報表功能,都能鉅細靡遺地呈現使用者在不同平台間的操作行為,確保使用者行為切實遵守企業組織規範。

  

ObserveIT − Rapid and Clear Investigation of Risky Users

ObserveIT Web-Based 風險儀表板提供資安管理人員內部威脅可視性與關聯性,並可自訂或套用內建320+種告警規則/逾29種分類,以進行風險指數分析。同時精確顯示使用者、部門單位、觸發告警行為累計/新增之指數與趨勢,提前偵測內部威脅的成因及細節,使資安人員在鑑識及調查時更為及時。