入侵指標 (IoC) 是指任何有關惡意攻擊的蛛絲馬跡。可以是惡意網站和釣魚網站的網址、魚叉式網路釣魚攻擊郵件的主題或垃圾郵件發件人的 IP 地址等。IoC 亦包括使用非標準端口的網絡流量、可疑的系統設定改動和異常的讀/寫量。IoC 的本質是以威脅為中心,在幾十年來一直作為網絡保安防護的基礎。企業在針對入侵指標的防衛上普遍現已達到一定水平。
另一方面,行為指標 (IoB)側重於用戶行為和用戶與數據的互動。具體而言,重點在於不當行為指標,因企業意識到大部分員工都盡忠職守,對企業構成的風險較低。透過比較用戶/ 僱員/ 承辦商/ 帳戶在相同職位或同級組別中的行為,企業可以更早識別為業務帶來高風險的行為,如「正在進行中」的數據盜竊等。
其實,我們對通過行為指標 (IoB)識別高風險的行為並不陌生。例如,香港企業如信用卡中心經常利用 IoB 偵測欺詐活動。若用戶進行異常信用卡交易,如商品性質、商戶、交易額或頻率出現異常時, 信用卡中心會以手機短訊通知持卡人以確認交易。這都是應用行為指標(IoB)識別高風險行為的常見例子。
在 2020 年,我們預測更多企業意識到需要利用行為指標所提供的深入分析,改善傳統以入侵指標為主的防禦機制。行為指標可以更有效保護於現代網絡環境中無處不在的數據。企業的網絡安全策略會由從外致內(偵測外部攻擊如何穿透外圍防禦)轉變為由內而外的方法(了解內部存在的風險以及防止數據被盜的重要性,不論是由誰、以那一種設備、傳輸媒介或雲端應用程式外洩)。
能夠充分了解個人或裝置如何與敏感數據及知識產權互動,絕對是企業成功防護的重要元素。在數碼轉型的大趨勢下,企業可以透過分析其客戶、以致員工的行為去找出行為指標(IoB),從而避免因身份盜竊而導致賬面和聲譽上的損失。網絡保安並沒有靈丹妙藥,因風險永遠存在,但我們可以通過整合行為分析和了解「人 ─ 企業最大的資產和最大的風險來源」,從而提升安全水平。
撰文:Forcepoint 亞太區技術總監譚偉基
