當不幸發生網絡安全事故,負責事故應變的同事便需要爭分奪秒,盡快調查事故的起因和堵塞有關的漏洞,避免事故再次發生。而次世代的內部威脅管理平台 ObserveIT 配合了新的雲端架構,詳細紀錄內部人士的活動,加快調查和應對的流程,從而降低受事故影響的成本。
ObserveIT 協助內部調查
. 詳細紀錄內部人士在 Endpoint、檔案、資料、應用程式和伺服器上的活動。
. 內部專門的風險行為偵測
. 容易理解,用戶等級的可見度。
通常在 ObserveIT 平台上展開內部威脅調查,都是由提示風險行為的警告開始,管理團隊可以因應自己的營運環境去微調有關的警告。以下的個案根據 Carnegie Mellon 的 CERT 學院,NITTF 和 NIST 標準的研究,包括了:
- 資料外洩
- 意外移動資料
- 濫用特別權限
- 不當使用應用程式和伺服器
- 違規 Endpoint 活動
- 異常系統存取
加快事故應變的調查工作
1. 從線索開始
IR 專家和調查員通常會從圍繞事故的線索開始,一般的內部威脅,都會有一些不當使用的名字或有懷疑的用戶 (例如離聯的員工或承包人士),在這個案中,正對一位名叫「kdonvan」的用戶作出調查,因為當他突然離開工作時便發生可疑的資料外洩。
2. 即時的詳細關連資料及內部威脅警告
ObserveIT 綜合公司人員的身份資料 (一般情況下是 Active Directory),能夠描繪使用者在機構內的身份,在這個案中「kdonovan」是一位 sales director,根據與 HR 的聯繫,估計這名用戶已被競爭者挖角。在任何調查中,活動的視覺證明是重要的證據,在這個案中,調查員找到使用者上載檔案到 USB 裝置的螢幕截圖,這資料增加了懷疑資料外洩到競爭者手上的可能性。
3. 檔案活動詳細資料
在調查資料外洩時,有問題資料的詳情越多越好,同時也包括使用者的活動時間線。從上方的螢幕截圖中可以看到「vacation.pdf」有有趣和可疑的紀錄,它從 CRM 系統被下載、重新命名然後經由兩個違規的渠道 (USB 和個人 Gmail) 流出,所有活動都可以從下圖中的時間線中找到。
4. 時間線中無可辯駁的證據
當把使用者所有動作放在一起,就能察覺到有異於普通、工作相關的活動,從文件的角度追蹤整個流程,從最開始、移動、重新命名和外洩,從下方的螢幕截圖可以看到使用者在下載和外洩客用敏感資料前,曾搜尋資料繞過公司的保安過濾,有這條時間線,可以知道事件發生的日期和時間,而且全部有螢光幕撮圖作為無可辯駁的證據,無需要人手從不同來源的紀錄進行交叉調查。
5. 與其他團隊輕鬆協作
內部威脅調查是一個團隊的活動,受關連的部門包括 HR、法律、管理、網絡安全和其他商業單位,ObserveIT 以時間線的事故和圖像,取代一般人難以理解的網絡安全術語,協助以上團隊作出決定,平台可以匯出「kdonovan」相關的 PDF 報告與其他團隊分享,另外還有 CSV 和 JSON 格式可以選擇。
根據整體資料評估風險
根據以上的例子,一名使用者的風險等級並不限於單一活動,如果活動與其他活動在同一檔案上發生,便可能是風險行為的徵兆。ObserveIT 協助 SOC 分析並把使用者活動視覺代,在更大範圍內協助調查事故。
資料來源:ObserveIT blog
