防制資料外洩 回到資安Q&A
Q
如何用現有的設備來觀察出行為異常的員工 ?
除了觀察員工的日常生活以外,如何透過一些免費的工具或流程來監控員工異常的行為,早期發現問題?一般的防火牆或網路設備,可以做到什麼程度的控管?可能還會有哪些疑慮?
提問時間: 04/19/2011
A
值班醫師回應

由於使用者行為的複雜度與多樣性會遠較系統運作來得高,所以企業若要有效管控員工異常的行為,建議還是先由大方向的流程部分著手會比較恰當。可以透過流程的規劃與設計,先做好工作與權責的區分,將每個員工可能接觸到的敏感資訊限縮到最小,並制定標準工作流程(SOP),避免員工因為錯誤的操作方式產生異常的結果,同時透過工作與資安意識教育訓練,灌輸員工正確的工作與資安觀念,並讓員工理解異常行為與作業疏失所可能產生的後果與造成的損失,甚至是明定出相關賞罰原則,藉由強制力與適當的獎賞來促使員工樂於遵守公司規範的工作流程。

在工具部分,由於針對使用者異常行為監控的產品,常會伴隨著大量且快速的規則與特徵碼更新,以目前接觸過的免費產品來說,其實並不太容易滿足這方面的需求,Snort(開放源碼的入侵偵測系統)或許可以符合部分需求,但實測結果在特徵碼的精準度仍有待商榷,建議可以多找些第三方提供的特徵碼進行測試。至於商業產品部分,可以考慮的產品有:NAC(Network Access Control)、Content Filter(內容過濾)、IM(即時通訊)管理、DLP(Data Loss Prevention)等,各有不同功能,並沒有一體適用的產品,建議還是要根據各個單位的工作流程、規範與公司規模來考慮適合的產品與配置,如:駐點廠商多的企業就可以考慮透過NAC來對廠商工作區的網路環境進行控管,避免廠商人員利用職務與地利之便,異常存取或串接公司內部網路資源,並搭配DLP針對企業機敏資料進行控管,避免廠商存取甚至攜出企業內部的重要資料。請記住一個簡單的原則,先考慮你的環境需要的是什麼產品,而不是找來一個產品後再思考它能應用在單位環境內的哪個環節。(簡單來說,就是「做對的事,而非把事情做對。」)

至於常見的防火牆與網路設備,對於使用者行為的監控部分能做得就十分有限了,只能限制使用者可以存取的服務與連接埠,但針對已開放的連接埠(Ex:port 80),就無法有效地進一步進行過濾了。

資安急診室醫師介紹
資安技術顧問
10年電子、電信、金融單位資安經驗,曾負責滲透測試,入口網站網路管理,金融業與電子業系統管理與資訊安全管理系統的導入與建置,專長於資訊安全攻防與資安教育訓練,並曾擔任多場大型資訊安全研討會講師
文章回應話題
發表者:Thomas 發表日期:08/20/2011
特徵碼沒用啊...business pattern要mapping成filtering rule才行啊..
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字