確保資安，從了解使用者行為做起

人是許多問題的根源，人也是許多問題的答案，在資訊安全這個領域，尤其如此，各種威脅的出現並非偶然發生，絕大多數都跟使用者的行為有密切關係，不過，長久以來，我們對於面對安全問題的解決方式，往往偏重在事前及早預防與事後儘速換原，對於事中的觀察與掌握，所投入的心力、技術與時間較為有限。

其實，要進行這部份的工作，經常會面臨到吃力不討好的情況。你需要持續監控各種可能出差錯的環節，並且能夠找出問題的所在，但企業每天營運所要面臨的挑戰，並不只是確保自身安全、服務永續提供，同時還要不斷開創新的業務、增添市場競爭優勢。因此，一講到監控使用者行為，企業若沒有足夠的人力和預算，其實，也不想在此多做投資。

但現在，各種資安威脅幾乎到了無孔不入的地步，一方面是因為網際網路的發達、行動應用的盛行，企業為了提升員工生產力與溝通效率，不得不開放各種門戶，使得公司內外之間的界線持續消弭，另一方面，則是有越來越多的使用者行為處於安全政策的模糊地帶，若設下全然阻隔的限制，有可能會嚴重影響業務往來的運作。

不論如何，這種失控的情況只會越演越烈，而且，企業很難在早期就預料到後續可能出現的所有問題，也因此在資安產品的演化上，我們看到，市面上出現了不少強調具有事件記錄整合分析功能的安全資訊管理系統（SIEM）、數位鑑識系統（Digital Forensics），或是在既有的防護系統上，增添各種資料查詢、排行榜統計、歷史事件的發生趨勢、甚至種種進階分析資料的功能。

簡而言之，對於安全威脅的掌握，企業希望能夠具有更多「自知之明」，而不是持續發展公司業務的忙碌過程中，同時還要擔心有人隨時隨地要侵入你的系統，而且對於寶貴的業務交易資料與員工的智慧財產，不只是竊取出來，外洩給他人濫用，還可能偷偷竄改，或是予以封鎖、加密，然後向企業勒索，逼你付錢贖回。

當然，企業會陷入這樣危險的處境，有很多原因，例如，本身所使用的應用系統、網路、電腦或伺服器，搭配的軟硬體環境可能有安全漏洞，或是實施管制作業時有缺失，這是先天不足；此外，後天失調的情況也是難以避免，例如，使用者的操作不當、缺乏安全意識而遭詐騙或入侵，甚至是帳號密碼、憑證被竊，而導致身分被冒用。

想要增進對上述狀況的察覺力嗎？過去，企業可能只能仰賴導入安全事件管理系統，甚至必須大費周章，建立所謂的安全維運中心（Security Operations Center），現在你還是可以運用這些方法，但更聚焦在使用者行為分析（User Behavior Analytics，UBA），或是使用者與實體的行為分析（User and Entity Behavior Analytics，UEBA）的主題上。

這股資安產品應用的趨勢，在2016年特別明顯。在3月舉行的臺灣資訊安全大會上，我們看到已經有多家資安廠商主講UBA議題，例如Balabit、Varonis、ObserveIT、Splunk等公司的原廠或代理商，紛紛派出技術專家來介紹；同時，我們也看到市面上一些資安廠商，也陸續推出強調UBA、UEBA分析功能或是強調能夠掌控內部使用者威脅與風險的產品，例如，HPE去年4月推出了ArcSight Security User Behavior Analytics，Forecepoint則在今年1月發表了SureView Insider Threat，Rapid 7預計今年上半推出InsightUBA。

基於這些原因，促使我們想藉由採購大特輯的形式，趁早介紹臺灣市場上能買得到的UBA、UEBA解決方案。所幸，我們目前找到6家能提供產品建議售價的原廠或代理商，廠牌包括上述的Balabit、ObserveIT、Splunk，還有CyberARK、Sailopoint，至於Varonis的UBA方案則因原廠不願提供價格，而無法納入這次專題報導，但之後，我們會再找機會以其他形式的文章介紹。

除了這7家公司率先開跑之外，我們期望HPE、Forepoint、Rapid 7，以及其他資安廠商，也能儘快引進臺灣，或推出相關的產品。