2020 年


2020-04-29

網擎資訊產品經理 廖為紹

企業必備,調查機密洩漏的兩大幫手

防範企業機密洩漏的困難點

對於任何企業,內部的商業機密洩漏一直是很難防範又是不能不面對的問題。注重機密洩密的企業可能已經導入 DLP(Data Loss Prevention 或 Data Leak Prevention)產品多年,希望在商業機密洩密前就阻止。部分企業則是重視當機密洩漏事件發生後,該如何運用工具佐證犯罪事實。目前市面上的 DLP 產品特性除了關鍵字比對、正規表示式(Regular Expressions)以外,還必須要支援足夠的資料內容偵測技術。然而,企業內部有心人士一定會想盡辦法繞過 DLP 系統,將非結構化的資料(例如檔案、電子郵件)洩漏出去。

機密洩漏事件發生後,調查如何進行?

為探討這問題,我們先回到事件發生時、企業決定啟動調查的時間點;當調查單位開始擬定調查計畫,須找齊以下資訊:

  1. 誰要調查?
  2. 誰要被調查?
  3. 需要收集什麼證據?

在一般企業中,調查單位多為內部法務、人資部門負責,極少會委託外部進行調查,調查對象通常都是非常明確的個人或群組。而收集證據及分析就是調查單位在整個調查中花費最多時間的工作,調查單位需向 IT 部門調閱相關資料,可能包含檔案、電子郵件、存取紀錄、語音等各式各樣的檔案。若涉及專業領域內容,則需要相關技術部門協助確認資料內容是否符合犯罪事實。面對這些龐大的資料量,調查單位需付出極大的人力及時間進行分析,了解當時的時空背景、人物關係、洩漏內容以及洩漏方式(即:WHEN, WHO, WHAT, HOW)。

視覺化工具協助調查

大家可能在影集見過這樣的場景:調查專案小組的桌上,堆著一箱又一箱的文件,大白板上張貼了很多照片、便條紙,甚至用線和圖釘拉出線條表示各物件(人物或物品)之間的關聯。

調查員們看著那面資訊量爆炸、眼花撩亂的調查牆時…突然靈光一閃,進而找到破案關鍵。而現實世界中的調查可沒有這麼戲劇化,調查單位所面對的資料除了一般紙本文件以外,還包含了很多數位資料,圖片、語音檔甚至是程式原始碼,那些摸不著又看不到的檔案。

調查單位需要將這些龐大的「資料」整理、分析、歸納出有意義並可進一步分析的「資訊」,在整個調查步驟中需要花費最多人力及時間。比起之前將資訊儲存在傳統媒體,在這數位資訊爆炸的年代,透過分析工具將數位檔案視覺化後再分析進而協助調查或決策,變得相對重要很多。

Gartner 預言在 2022 年,圖形處理和圖形數據庫的應用將以每年 100% 的速度增長,以不斷加速數據準備並實現更複雜和適應性更強的數據科學。

若以電子郵件為思考情境發想的話,機密外洩應該是由內部人員將企業機密寄送至外部信箱,不會由外部信件回信至原信箱,但調查對象平常寄送信件可能也會無回信的情形發生,時間點可能在離職前或特殊事件發生期間。綜合以上幾點,視覺化工具應該需要具備:

  1. 指定查詢流量,針對內部、外部或所有流量設定。
  2. 指定查詢時間,針對調查時間自訂時間區段。
  3. 提示傳輸次數,透過數字或線條粗細表示。
  4. 過濾數量顯示,將有持續聯絡關係屏蔽只顯示單向聯絡。
  5. 全域查詢範圍,針對個人、群組及網域顯示聯絡關係圖。

                        

                        

AI 技術協助調查

對於事件發生後再被動調查,多數企業希望能夠透過 AI 技術在異常行為發生時,協助告警管理者異常行為發生。目的將調查時間點往前推進,掌握黃金調查時間。若以電子郵件為思考情境發想的話,一個內部的 RD 人員平時不會信件給外部信箱,而在離職前一個月開始將內部程式、文件透過加密壓縮檔案寄到外部信箱。綜合以上幾點,AI 技術應該需要具備:

  1. 學習用戶行為,針對個別用戶行為建立模組。
  2. 建立行為模組,針對不同群組定義通用行為建立模組。
  3. 判斷異常行為,針對個體、群組定義異常行為。
  4. 分析過往數據,將歷史資料(存取紀錄、電子郵件)做大數據分析。

未來視覺化工具對於企業的願景

無論是數據分析調查或企業決策上,企業都會面臨無法親力親為將所有資料全部看過一遍。隨著科技進步,越來越多系統都朝向視覺化、AI 技術、大數據分析為企業及組織帶來協助,十年前我們可能很難想像將語音檔直接轉換成文字進行辨識,甚至在手機上有個可以透過講話就幫你做事的人工智慧助理。相信這些技術再過下個十年,甚至不到十年,我們就能看到這些技術的再一次演進。