2020 年

2020-04-29

---

企業必備，調查機密洩漏的兩大幫手
網擎資訊產品經理 廖為紹

防範企業機密洩漏的困難點

對於任何企業，內部的商業機密洩漏一直是很難防範又是不能不面對的問題。注重機密洩密的企業可能已經導入 DLP（Data Loss Prevention 或 Data Leak Prevention）產品多年，希望在商業機密洩密前就阻止。部分企業則是重視當機密洩漏事件發生後，該如何運用工具佐證犯罪事實。目前市面上的 DLP 產品特性除了關鍵字比對、正規表示式（Regular Expressions）以外，還必須要支援足夠的資料內容偵測技術。然而，企業內部有心人士一定會想盡辦法繞過 DLP 系統，將非結構化的資料（例如檔案、電子郵件）洩漏出去。

機密洩漏事件發生後，調查如何進行？

為探討這問題，我們先回到事件發生時、企業決定啟動調查的時間點；當調查單位開始擬定調查計畫，須找齊以下資訊：

1. 誰要調查？
2. 誰要被調查？
3. 需要收集什麼證據？

在一般企業中，調查單位多為內部法務、人資部門負責，極少會委託外部進行調查，調查對象通常都是非常明確的個人或群組。而收集證據及分析就是調查單位在整個調查中花費最多時間的工作，調查單位需向 IT 部門調閱相關資料，可能包含檔案、電子郵件、存取紀錄、語音等各式各樣的檔案。若涉及專業領域內容，則需要相關技術部門協助確認資料內容是否符合犯罪事實。面對這些龐大的資料量，調查單位需付出極大的人力及時間進行分析，了解當時的時空背景、人物關係、洩漏內容以及洩漏方式（即：WHEN, WHO, WHAT, HOW）。

視覺化工具協助調查

大家可能在影集見過這樣的場景：調查專案小組的桌上，堆著一箱又一箱的文件，大白板上張貼了很多照片、便條紙，甚至用線和圖釘拉出線條表示各物件（人物或物品）之間的關聯。

調查員們看著那面資訊量爆炸、眼花撩亂的調查牆時…突然靈光一閃，進而找到破案關鍵。而現實世界中的調查可沒有這麼戲劇化，調查單位所面對的資料除了一般紙本文件以外，還包含了很多數位資料，圖片、語音檔甚至是程式原始碼，那些摸不著又看不到的檔案。

調查單位需要將這些龐大的「資料」整理、分析、歸納出有意義並可進一步分析的「資訊」，在整個調查步驟中需要花費最多人力及時間。比起之前將資訊儲存在傳統媒體，在這數位資訊爆炸的年代，透過分析工具將數位檔案視覺化後再分析進而協助調查或決策，變得相對重要很多。

Gartner 預言在 2022 年，圖形處理和圖形數據庫的應用將以每年 100％ 的速度增長，以不斷加速數據準備並實現更複雜和適應性更強的數據科學。

若以電子郵件為思考情境發想的話，機密外洩應該是由內部人員將企業機密寄送至外部信箱，不會由外部信件回信至原信箱，但調查對象平常寄送信件可能也會無回信的情形發生，時間點可能在離職前或特殊事件發生期間。綜合以上幾點，視覺化工具應該需要具備：

1. 指定查詢流量，針對內部、外部或所有流量設定。
2. 指定查詢時間，針對調查時間自訂時間區段。
3. 提示傳輸次數，透過數字或線條粗細表示。
4. 過濾數量顯示，將有持續聯絡關係屏蔽只顯示單向聯絡。
5. 全域查詢範圍，針對個人、群組及網域顯示聯絡關係圖。

                        

                        

AI 技術協助調查

對於事件發生後再被動調查，多數企業希望能夠透過 AI 技術在異常行為發生時，協助告警管理者異常行為發生。目的將調查時間點往前推進，掌握黃金調查時間。若以電子郵件為思考情境發想的話，一個內部的 RD 人員平時不會信件給外部信箱，而在離職前一個月開始將內部程式、文件透過加密壓縮檔案寄到外部信箱。綜合以上幾點，AI 技術應該需要具備：

1. 學習用戶行為，針對個別用戶行為建立模組。
2. 建立行為模組，針對不同群組定義通用行為建立模組。
3. 判斷異常行為，針對個體、群組定義異常行為。
4. 分析過往數據，將歷史資料（存取紀錄、電子郵件）做大數據分析。

未來視覺化工具對於企業的願景

無論是數據分析調查或企業決策上，企業都會面臨無法親力親為將所有資料全部看過一遍。隨著科技進步，越來越多系統都朝向視覺化、AI 技術、大數據分析為企業及組織帶來協助，十年前我們可能很難想像將語音檔直接轉換成文字進行辨識，甚至在手機上有個可以透過講話就幫你做事的人工智慧助理。相信這些技術再過下個十年，甚至不到十年，我們就能看到這些技術的再一次演進。