内部威胁被谈论已久,许多信息泄露事件都是由内部因素所引发,源头也往往来自一些可以直接接触企业重要数据的员工和合作伙伴,利用终端的外接设备渠道、网络渠道等窃取破坏企业机密以及用户数据,而管理员通常很难及时发现。
事件响应滞后,事后再补救,为时晚矣,此前IBM的数据泄露成本报告显示,加强风险监测可更快发现数据泄露行为,有效降低企业的数据泄露成本,可见建立完善的风险预警响应机制,可以避免更大的损失,现在国内众多安全法规也已经把风险监测列入其中。
终端计算机作为办公的重要端点,任何一项操作都可能存在数据泄露的风险,对终端各项操作行为及文档全生命周期进行审计,可以更快速发现异常行为,从而及时做出防控响应,最大程度消除信息泄露隐患。现在不少企业就应用IP-guard慧眼风险审计报表,建立完整的风险预警机制。
IP-guard:审计终端操作,高效防控泄密风险
IP-guard风险审计报表是基于IP-guard强大的日志记录,企业可以通过IP-guard报表系统的趋势统计、征兆统计对海量的日志记录进行统计分析,快速筛查异常行为,并以此为依据检查自身的终端管控策略是否有缺陷,从而调整管控措施,避免出现安全疏漏给他人可乘之机。
1、统计操作行为,快速掌握终端全局动态
管理员可以对终端的打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯、软硬件资产等行为进行报表统计,如统计移动存储插入、拷贝数量,IP-guard报表系统可详尽统计移动存储插入次数、拷贝文件数量及大小,当个别人员出现大量拷贝时,可第一时间对其进行详细日志盘查,规避泄密风险。
2、直观展现行为变化趋势,发现异常行为
IP-guard能够帮助统计用户行为,直观展现某段时间内用户行为的变化趋势,如文档复制行为是否增多了,再针对问题节点进行细致审计,也就是查看文档复制记录判断员工大量拷贝文件的合理性,可以单独对某个用户或者某项操作进行审计。
3、审计高敏感操作,预警泄密风险
审计加密文档操作行为
IP-guard支持对文档创建、复制、修改、删除、重命名、上传等各项操作行为进行记录及审计,管理员也可以在IP-guard报表系统直接对加密文档的操作进行统计分析,如统计解密的文件数、加密的文件数、外发的文件数等等,掌握重要文档的操作动态,还可以提前设置预警阈值,及时发现潜在的信息安全风险。
审计敏感内容文档外传行为
终端日志零散、量大,无法快速统计高风险行为,IP-guard的敏感内容识别技术可以自动记录敏感信息的外传行为,管理员可通过IP-guard报表系统直观统计敏感信息外传行为,如统计外传敏感信息文件的数量和大小,分析敏感内容文档外传行为(复制到移动盘、IM传送文件等)趋势变化,快速获知高风险外传操作的动态。
4、征兆报表,及时发现高风险行为
管理员可以对打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯提前设置征兆阈值和报警级别,当用户行为达到设置的阈值时,报表系统会自动产生、统计相应的征兆(低、重要、严重)事件,并进行征兆风险预警,帮助及时发现高风险行为。
IP-guard提供多样化的报表(统计表、趋势表、征兆表),管理员可以根据自身的需要对相关日志进行统计分析,在完成分析之后,还可以将统计结果导出可视化报表,方便向其他业务部门、上级领导进行汇报,IP-guard支持用邮件方式把报表定期发送给相关管理员,以便管理员及时了解终端的运行动态。