ObserveIT
產品介紹
近年來,愈來愈多國際資安事件經證實皆與內部威脅有關,顯示內部威脅管理已刻不容緩。Gather Research 副總經理 Anton Chuvakin 表示:「內部威脅可分為三種型式,分別是惡意的 (Malicious)、善意的 (Well Meaning),以及被滲透的 (Comprised) 內部威脅,研究顯示,超過51%的內部威脅皆來自於惡意的,同時有超過50%的企業組織表示曾遭受到內部威脅的影響」。為了有效地扼止並減少內部威脅的發生,企業組織必須要有能力對端點的使用者行為加以監控與管理。Gartner在使用者與企業單位行為分析市場指南 (User and Entity Behavior Analytics; UEBA) 中強調:「由於惡意行為難以辨識與評估,此領域中之領導廠商在端點安裝Agent,針對使用者無任何日誌記錄的前後關係行為與資訊進行分析」,從正常的行為活動中區分出濫用或惡意行為,確定使用者意圖、收集確鑿的鑑識證據,甚至阻止或封鎖違規行為。

全球擁有逾40萬會員的 Cybersecurity Insiders 線上資安社群最新的 Insider Threat 2018 Report 名列第一的重要調查結果顯示,90%受訪者身處的企業組織均面臨內部威脅挑戰; 其中37%認為內部威脅主因在於過多使用者擁有過高權限; 36%認為被授權存取機敏資料的裝置日益增加; 35%認為IT技術與架構愈趨複雜。逾53%受訪者承認過去12個月中遭遇過內部威脅相關事件,故企業組織正積極轉移資安焦點,依序是:64%內部威脅偵測,58%事前阻絕,49% 分析與留存事件數位證據。

人是內部威脅的原生點,無心與蓄意使用行為所引發的資安威脅最具殺傷力亦最難偵測與防禦。使用行為分析無法單藉圖像辨識技術、系統Log進行全面偵測或精確還原發生點,而須藉由細膩的Metadata之深度與廣度,加強精準偵測辨識並提升內部威脅可視性。從已知授權使用行為的監控分析,到未知的非授權行為之辨識阻絕,皆是內部威脅管理的關鍵能力。

全球倍速增加的資安事件證明,一般帳號、高風險與特權帳號使用者及第三方維護廠商,不僅易淪為外部惡意攻擊的目標,更是蓄意或無心造成數據資產外洩的內部威脅主要成因。ObserveIT針對使用者行為進行偵測、阻絕、分析與告警,原解析視覺化加密軌跡精確還原事件過程以利辨識行為意圖,以完整的「事前偵測阻絕」、「事中蒐證回應」與「事後稽核舉證」內部威脅管理,達成 TTD 即時偵測與 TTR 即時回應的資安防護目標。


內部威脅管理蔚為全球資安新顯學

國際知名研究調查機構如:Gartner、Verizon、Ponemon、CERT等,自2015年起紛紛發表內部威脅相關報告與資安事件統計數據,綜觀結果,90%資安事件皆源自於授權使用者; 亦有報告強調,75%的內部威脅是無法預警的,一旦造成資安事件,形成的財損與破壞程度是外部威脅的2倍,因此,內部威脅管理已成為Cyber Security防護作戰刻不容緩的焦點。曾有一項針對美國200多位決策者以及1,000多位全職員工有關內部威脅與資料洩露所做的Clearswift Insider Threat Index (CITI)報告結果顯示,49%內部威脅與使用者使用可攜式儲存裝置/USB有關、47%的威脅來自於使用者未遵守企業內部對資料以及智慧財產保護所制定的資安政策,令人意外的是有31%員工表示他們會分享或共用個人的帳號與密碼。針對如何降低企業資安內部威脅,高達72%受訪者一致認為必須針對端點加強監控與偵測,同時透過「教育與宣導」,讓員工能充份了解企業內部的資安政策,以及對關鍵與機密資料保護的重要性。


建構以「人」、「資料」、「流程」為核心的內部威脅暨端點防護之資安架構

以往企業組織資安策略多著重架構、網路的安全性,不論如何堅實的環境,終須授權一般營運、特權帳號及第三方維護廠商等使用者進行應用程式、資料與系統之存取。這些使用者正是接觸外部資安風險的主要媒介,甚至是被蓄意攻擊的目標,因此在駭風盛行且資料外洩事件頻傳的今日,Gartner建議採取以人、資料及流程為核心焦點的「內部威脅暨端點防護資安」策略。企業組織應對於具備權限之各類使用行為進行偵測分析,藉由端點操作行為的實際畫面記錄及詳盡的Log輔助,協助管理者提前洞悉與阻絕各違規行為與內部威脅,並即時回應與控管風險。

ObserveIT v7 強化資料外洩防禦與檔案歷程追蹤

資訊資產保護與資料外洩阻絕需求正急遽攀升,亦成為內部威脅管理重要的一環,從Data、應用程式、各類系統的權限控管、檔案存取進出歷程追蹤與數位證據保存,威脅可視性的涵蓋面更須積極延伸至檔案一致性、網路連結、系統執行序、系統日誌等分析與監控能力。Gartner目前正評估是否持續DLP產業魔術象限研究,因DLP無法獨自擔當資料外洩防禦,很難進行巨量多元化資料細節分類,導致DLP應用被迫縮小執行範圍且產業呈衰退。

ObserveIT智慧型視覺化內部威脅暨端點防護解決方案專事各類使用行為之偵測分析,藉由操作行為實際畫面記錄及詳盡Log輔助,以利管理者提前洞悉與阻絕各類威脅使用行為與資料外洩的可能性。ObserveIT自v7推出更積極納入DLP-like的資料外洩防禦功能,強化檔案歷程追蹤機制,主動偵測內部檔案異常使用行為,如:異常時段登入、USB儲存裝置、大量檔案複製、雲端上傳、Webmail瀏覽、異常列印、檔案追蹤與檔名變更等。

資安管理目標

Detect偵測

  • 洞悉違反內部資安政策之使用行為並進行風險排名。
  • 內建逾300種國內外常見之內部威脅偵測告警規則。
  • 內建29種內部威脅分類可依使用者群組分別設定,如: 資料外洩、提權、滲透、未經授權之管理行為、應用程式之資料竊取、肆意或蓄意資料搜尋等,亦可依內規自行定義。


Deter阻絕

  • 針對使用者違反內部資安政策之行為發出警告訊息。
  • 告知使用者其違規行為已被側錄並將進行稽核。
  • 經證實即時警告使用者可有效減少80%的違規行為。


Educate教育

  • 以即時資安訊息宣導對使用者進行資安教育。
  • 經證實宣導教育可有效降低50%資安事件之發生。


Prevent 預防

  • 內部資安政策貫徹執行與檢視。
  • 立竿見影之數據資產保護與損害控管。
  • 最佳化偵測與管控流程: 資安政策宣導、中斷操作、阻絕關閉及強制登出,實施資安分段防護。


Investigate調查

  • 精確追溯違規事件發生點,大幅縮短回應與調查時間。
  • 即時辨識與過濾內部威脅行為與意圖。
  • 進行視覺化軌跡蒐證,具不可竄改之證據能力。


  1. Web-Based風險儀表板即時提供管理者整體內部威脅可視性與關聯性軌跡,明確顯示各類使用者、各部門單位、各類觸警風險行為累計/新增之指數與趨勢,並可自訂或套用內建逾300種告警規則/逾29種分類,可進行風險指數重置。
  2. 提供使用者行為歷程進階統計分析,包括遠端連線來源、常用登入帳號/端點/裝置/應用程式/網站等分析與使用時間、平均活動或超時工作統計等。
  3. FAM (File Activity Monitoring) 檔案活動監控功能,提供詳細的檔案日誌與使用歷程,凡檔案複製、移動、重新命名或刪除等,皆可立即告警與追蹤視覺化檔案軌跡,以利加速數據資料外洩事件之調查。
  4. Windows環境內可進行應用程式進階控管,針對未授權或異常應用程式使用行為進行偵測,具備強制關閉未授權之應用程式或強制登出等預防機制。
  5. 針對Linux環境可阻絕未經授權指令、指令參數或蛙跳行為,可偵測、告警與側錄Linux/Unix使用者執行之命令與輸入指令後的Output字串,包括Script中內含之指令與系統命令產生的底層指令,及所有終端螢幕之輸出畫面。
  6. 當使用者連接USB儲存設備時,可立即偵測及告警。當系統偵測到以快捷鍵複製、或拖拉複製檔案至雲端儲存空間等行為時,將主動告警並側錄檔案名稱。
  7. 可針對列印工作進行監控、偵測與記錄本機/網路印表機的列印工作細節,顯示使用者、主機名稱、印表機名稱/品牌、列印檔案名稱、列印頁數與大量列印等資訊。
  8. 具備URL安全過濾機制,內建逾數十種分類及逾數百億筆Indexed URLs情資資料庫並可每日更新,針對例如釣魚、高危險性、未被授權網站等之瀏覽行為進行偵測、告警或中斷。
  9. 可設定「匿名模式」,將風險儀表板及 Web Console 所顯示之使用者資訊加以匿名,確保使用者隱私與個資之保護。
  10. 側錄資料皆具備AES加密保護與浮水印,並具備雙重密碼保護機制亦可整合數位簽章,並須依管理權限以ObserveIT播放器進行回播,確保資料無法竄改同時提升證據能力。
  11. Agent符合FIPS國際標準。具備離線側錄功能,網路斷線時Agent仍持續側錄,待連線恢復自動回傳檔案至資料庫。凡蓄意更改、刪除Agent檔案或終止Agent運作時,Agent之Watchdog機制將自動重啟並發送即時警示email通知管理者。
  12. 支援Windows、Mac、Linux、Unix/HP-UX、Solaris等作業平台,並可增設Windows/Linux管理者身份或共用帳號之第二道認證,及Windows身份盜竊偵測與警示功能。
  13. 支援 VMware View、Citrix XenApp / XenDesktop、Ericom、Windows Remote Desktop、TeamViewer、P C a n y w h e r e 、V N C 、T e l n e t 、S S H 、N e t o p 、Dameware、Putty、FTP/SFTP等遠端連線操作側錄。
  14. 可將收集之資訊自動匯出成C S V 或C E F 檔案, 與LogRhythm、Splunk、IBM PIM/Security QRadar、HP Arcsight、RSA enVision、Citrix、Lieberman、Tibco、Servicenow或Microsoft SCOM整合,亦提供Webservice整合Ticketing系統,如:OITicket特權帳號流程系統,以進行工單申請、核准及權限開通與視覺化覆核,落實申請核准記錄、軌跡資料、存取證據、監控記錄之保存。
v7.5

完整記錄資料外洩軌跡歷程

  • 檔案經網頁上傳與下載之偵測規則設定,防範蓄意或無意之資料外洩
  • 完整記錄檔案作業之軌跡,並提供快速搜尋或報表分析

 

經由瀏覽器上傳檔案-1



經由瀏覽器上傳檔案-2



經由瀏覽器上傳檔案-3



使用者生產力與資安評估之分析報表

使用者生產力與資安評估之分析報表



增加 Agent 隱藏項目

增加AGENT隱藏項目



ITL內部威脅告警規則資料庫 - 告警規則與清單持續更新,已逾29種分類,逾300種告警規則

告警規則

v7.4

強化搜尋功能 - 大量搜尋時可隨時中斷,加速顯示已搜尋到之結果

搜尋強化- 大量搜尋時可隨時中斷,並顯示已搜尋的結果



使用者活動記錄分類更為精細,包含應用程式分類、URL下載、雲端空間上傳、檔案歷程活動等

使用者活動記錄更為精細,包含所瀏覽的URL



清楚明瞭且易操作的介面,分類呈現 session-level 的資訊

清新友善的介面,清楚呈現session-level的資訊



告警規則增加 CIDR 之支援 (Classless Inter-Domain Routing)

告警規則中增加支援CIDR


v7.1

監控追蹤機敏資料軌機藍圖



檔案活動監控(File Activity Monitoring, FAM)

  • 追蹤並告警所有瀏覽器下載或匯出之檔案:From the internet or intranet
  • 追蹤並告警檔案複製至雲端空間之local sync folder:Dropbox, Google Drive, iCloud, Box, OneDrive (last 2 are only for Windows)
  • 追蹤並記錄檔案變更:Copy, move, rename, delete
  • 檔案日誌 – 快速調閱及篩選檔案追蹤記錄:Print and export to Excel
  • 檔案歷程 – 提供完整軌跡及回播畫面:View file history and Video playback


FAM: 記錄瀏覽器下載之所有檔案

FAM: 記錄瀏覽器下載之所有檔案


FAM: 檔案歷程軌跡記錄

FAM:檔案歷程軌跡記錄


FAM: 下載檔案屬性即時告警

FAM: 下載檔案屬性即時告警


FAM: 下載檔案並複製雲端空間Sync Folder即時告警

FAM: 下載檔案並複製雲端空間Sync Folder即時告警


Clipboard剪貼簿-複製內容即時告警

Clipboard剪貼簿-複製內容即時告警


告警事件檢視報告-Alerts & Screen Shots PDF

告警事件檢視報告-Alearts & Screen Shots PDF

新增報表

新增報表

New Platforms

  • Agent support of Windows Server 2016
  • DBA Activity support for MS SQL Server Management Studio 2016
  • 64-bit Application Server

v7.0

強制中斷並登出

  • 嚴格落實內部資安政策。
  • 有效對資產或智慧財產進行保護,並防止潛在的商業損失。
  • 藉由強制使用者登出以提昇安全性,強化控管流程。

強制中斷並登出

強制關閉未經授權使用之應用程式

強制關閉未經授權使用之應用程式

使用者行為歷程分析

  • 透過新安全事件與使用者日常使用行為的掌握以縮短調查時間。
  • 識別高危險使用者的活動,如:異常使用應用程式/網站/Unix指令,或在不常使用的電腦上執行程式。
  • 增加對同仁與維護廠商生產力的可視性,了解他們在每個應用程式所花費時間、工作日/工時及閒置時間。

使用者行為歷程分析

使用者行為歷程分析

優化Web Console管理介面

  • 嶄新的Web管理介面與儀表板,高解析度呈現更多細節資料。

優化Web Console管理介面

優化Web Console管理介面

Key-Logging告警

  • 針對使用電子郵件、聊天應用程式、社交媒體網站過程,設定需要保護的關鍵字,以偵測潛在的資料外洩發生。
  • 辨識於CLI工具中所執行的指令,如:Windows CMD、PowerShell、PuTTY、Mac終端機。
  • 偵測同仁於工作場所使用不當暴力言語、或與客戶溝通時不當的表達。

Key-Logging告警

Insider Threat Library 規則更新管理

  • 無需軟體升級即可自動更新,保持最新的威脅資訊來源。
  • 不影響客戶原有規則或列表設計。

Key-Logging告警

v6.7

優化警示機制 – 精準發出警告、降低假警報

  • 超過180個隨選即用的預設警示規則 (Insider Threat Library; ITL)。
  • 警示規則可針對不同族群如:特權帳號、日常使用者、第三方廠商、及離職員工等進行設定。
  • 可針對特定使用群組設定統一的風險指數。

精準發出警告、降低假警報

優化警示機制 – 24種內建警示規則群組

以群組分類原則、將相同屬性之警示規則進行群組、方便進行設定。
資料外洩 (12) 建立後門 (7) 安裝及移除可疑軟體 (17)
滲透行為 (4) 績效違規事項 (12) 預備攻擊 (8)
隱藏資訊及覆蓋軌跡 (15) 主機上未經授權存取行為 (4) SHELL攻擊 (3)
未經授權登入存取 (12) 執行惡意程式 (7) 未經授權開啟SHELL (3)
未經授權資料存取 (3) 執行未經授權之管理者行為 (12) 系統破壞 (3)
安全性控管設定異動 (9) 版權侵權 (3) 特權提升行為 (4)
違規不當行為 (8) 肆意或蓄意資料搜尋 (12) 身份盜竊 (2)
濫用行為 (6) 執行未經授權之通訊工具 (3) 系統竄改 (2)

更有效的警示規則管理

  • 警示規則加以群組化、方便快速設定與取消。
  • 可建立使用者清單及關鍵/敏感字元清單對應不同警示規則。
  • 更容易針對不同但風險程度相同的使用者設定警示規則。
  • 可針對大量警示規則的改變 (如:啟用或刪除) 進行同步執行。

更有效的警示規則管理

更有效的警示規則管理 – 名單

  • 使用者名單:可用於警示規則定義或分配的用戶和/或Active Directory群組中的列表、如:部門、日常用戶、特權用戶、遠端連線維護廠商、準備離職員工等。
  • 一般名單:可用於警示規則定義的關鍵字列表、如:敏感資料/檔案/內部EIP名稱、 VIP客戶、機敏應用程序、機敏關鍵字/主機名稱、網路位置等。

更有效的警示規則管理名單

增加使用者活動與風險的可視性 – 網路分類

  • 整合第三方惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個URLs) :
    • 非系統管理員的日常使用者 (非系統管理員) 瀏覽討論網路監聽或駭客技術的網站。
    • 使用者存取雲端磁碟空間。
    • 當使用者存取惡意或釣魚網站時,即時顯示中斷訊息。
    • 將伺服器用在與工作無關之事務,如:P2P服務、社交媒體、收看線上視訊…等。
    • 在Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
    • 使用者將時間花費在遊戲、賭博、運動或新聞網站。
  • 內建網站分類包含以下:Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。

增加使用者活動與風險的可視性 – 列印監控

新增對列印工作的監控、可以偵測到任何來自本機或網路印表機的列印工作:
  • 列印檔案之使用者/電腦的相關資料。
  • 列印中的文件名稱。
  • 印表機名稱與製造商資訊。
  • 列印文件的張數。
  • 大檔案列印 (>10頁資料)

增加使用者活動與風險的可視性列印監控

增加使用者活動與風險的可視性 – 新儀表板視圖

風險儀表板上新圖表的呈現、讓管理者能在一定的時間內更清楚地瞭解使用者風險以及行為的發展趨勢。

增加使用者活動與風險的可視性新儀表板視圖

使用者匿名保護

  • 在匿名模式下、所有使用者資訊將不會顯示在風險偵測儀表板及Web Console中、保護使用者隱私。
  • 在匿名模式下、可針對特定使用者或使用族群取消匿名模式。
  • 可與HR名單 (如:已離職員工) 進行整合以進行個別管理與監控。

個別管理與監控

若需針對特別對象進行調查、需提出申請並由管理者同意後始可進行非匿名化。

非匿名化

支援更多作業平台

  1. 新增Mac Agent
  2. 支援Windows 10 (含Edge瀏覽器)
  3. 支援Ubuntu 16.04
  4. 支援RHEL 7.2

支援更多作業平台

ObserveIT v6.7版新功能介紹影片

  1. 優化警示機制
  2. 增加對使用者活動與風險的可視性 – 網路分類
  3. 增加對使用者活動與風險的可視性 – 列印監控
  4. 24種內建警示規則群組
  5. 使用者匿名保護

v6.5

追蹤使用者行為

協助管理者透過新使用者行為分析工具,快速掌握風險:
  • 總違規數:總計所有反公司政策之行為、警示通知、中斷訊息及拒絕存取等所有事件之數量。
  • 過去7日趨勢:比對本週與前一週所有警示通知訊息之趨勢走向。
  • 自昨天以來的新警告:顯示自昨天以來所有發生警告通知的總數。

追蹤使用者行為

落實資安政策 – 柔性宣導

以即時訊息告知同仁其操作行為已違反公司資安政策,藉以進行機會教育。

落實資安政策 – 強制中斷

即時跳出中斷操作之畫面視窗,告知同仁其操作行為已違反公司資安政策,並要求輸入原因後方得繼續進行。

落實資安政策強制中斷

落實資安政策 – 強制阻絕惡意行為與未經授權活動

  • 針對Unix/Linux環境,可直接強制中止並阻絕惡意行為或未經授權的活動,讓使用者無法繼續執行違反公司政策作業。
  • 可針對使用者ID、指令名稱 (如:su、sudo、rm) 、電腦名稱、IP位址、作業系統…等設定強制中斷規則。

強制阻絕惡意行為與未經授權活動

偵測式或動態式畫面側錄技術

可選擇性設定僅蒐集使用者行為之Metadata,一旦使用者觸發告警時,ObserveIT立即開始側錄違規行為過程。ObserveIT之側錄畫面與Metadata整合,可快速搜索特定行為,同時重建事件發生前、中、後的關聯性。

偵測式或動態式畫面側錄技術

v6.3

USB設備連接偵測

可自行設定於偵測到USB設備連接時,在側錄畫面顯示〝USBCONNECT〞文字。

USB設備連接偵測

USB設備連接偵測

資料遺失或外洩偵測

偵測在Agent主機快捷鍵或拖拉複製之檔案大小或檔案數量大於設定值時,都會顯示”LARGEFILECOPY”文字。
資料遺失或外洩偵測
資料遺失或外洩偵測

新搜尋介面 - 提供更快速更精準搜尋機制

大幅提升搜尋效能,提供更細膩分類式搜尋範圍與條件。

提供更快速更精準搜尋機制

主控台「僅設定與管理」角色

主控台新增一個「僅設定與管理」角色,該角色使用者登入ObserveIT主控台後,僅能使用「設定」頁籤下之功能。

設定與管理角色