微軟Purview的內部風險管理

Microsoft Purview 內部風險管理可處理內部風險議題，例如 IP 偷取、詐欺和破壞。了解甚麼是內部風險管理以及 這一個解決方案如何偵測、調查組織中的風險活動並採取行動。本文將介紹的重點如下:

1. Microsoft Purview Insider Risk Management如何協助我們對內部風險進行預防、偵測與圍堵
2. 這一個解決方案的內建、預定義的政策範本
3. 列出建立內部風險政策之前需要滿足的先決條件
4. 解釋我們可以針對內部風險管理案件採取的行動類型

所謂日防夜防，家賊難防。信任員工是營造充滿活力和高效工作場所的關鍵。但信任也伴隨著風險。公司需要能夠快速識別和管理來自內部人員（具有公司存取權限的員工或承包商）的風險，以盡量減少對其業務的負面影響。非法、不當、未經授權或不道德的行為和行動帶來的內部威脅和風險是所有公司面臨的一個主要問題，而且很容易被發現，直到為時已晚。

卡內基美隆大學電腦緊急應變小組 (CERT) 的一項研究表明，92% 的內部威脅案件都是在發生負面工作事件之前發生的，例如解僱、降職或與主管發生爭執。 2016 年，德勤報告稱，自願或非自願離開組織的員工中有 59% 表示他們隨身攜帶了敏感數據，而參與內部威脅事件的員工中有 51% 曾在事件發生前違反 IT 安全政策。但是，為何不滿的員工或離職的員工會幹這種事，這是企業主需要想一想的。這其實跟組織的價值觀、文化和制度有很大的關係。而下圖顯示會產生惡意的內部風險途徑。

內部威脅一樣會產生財務影響，因為公司會遭受市場、法律、聲譽和生產力損失。根據 Ponemon Institute 的資料，因疏忽而引起的內部事件的平均成本超過 307,000 美元。如果內部人員具有惡意，損失將超過 75 萬美元。除了財務損失外，內部風險的影響還包括品牌和聲譽受損、競爭劣勢、不遵守法規以及市占率損失。

識別內部風險的傳統方法（例如user behavior analytics、監控使用者活動和資料遺失防護）可能會受到部署場景複雜、洞察力有限以及缺乏 SecOps 以外的工作負載整合等限制。

Microsoft Purview 中的內部風險管理解決方案利用 Microsoft Graph、安全服務和 一堆HR系統的連接來獲取即時訊號，例如文件活動、通訊情緒、異常使用者行為和辭職日期。一組專為數位智慧財產權盜竊、機密洩露和HR違規等風險量身定制的configurable policy templates，使用AI將這些訊號關聯起來，以識別傳統或手動方法可能遺漏的隱藏模式和風險。這些內建政策範本可讓我們識別和減輕風險活動，同時透過設計隱私架構平衡員工隱私與組織風險。最後，端到端整合工作流程可確保安全、人力資源、法律和合規方面的人員參與進來，以便在發現風險後快速調查並採取行動。

現代工作場所的風險痛點

管理和最小化組織中的風險首先要了解現代工作場所中發現的風險類型。有些風險是由外部因素造成的，例如駭客試圖透過暴力或網路釣魚攻擊竊取員工憑證。其他風險是由內部事件和員工活動引起的，這些風險是可以消除和避免的。員工內部風險的一些例子如下：

• Intellectual property (IP) theft
• Espionage
• Leaks of sensitive business assets
• Confidentiality violations
• Sabotage
• Fraud
• Insider trading
• Code-of-conduct violations
• Regulatory compliance violations

內部風險因產業而異。在醫療保健領域，內部詐欺是最常被提及的風險類型，而破壞則是 IT 產業面臨的最大風險。

導致惡意內部風險的路徑各不相同。可能是有違反 IT 安全政策歷史的員工、解僱或與主管發生糾紛等負面工作事件，或在自願或非自願離開公司之前獲取敏感資料的員工。

一般內部風險場景

Microsoft Purview的insider risk management解決方案殼協助我們偵測、調查，並採取行動來減緩內部風險。可以協助的場景如:

• 離職員工竊取資料。
  當員工自願或非自願而離開組織時，通常組織會擔心公司、客戶和員工資料被偷取。員工沒有法律常識地認為專案資料不是專有的，或者他們可能會為了個人利益而取得公司資料，從而違反公司政策和法律標準。
• 洩漏敏感或機密資訊。
  在大多數情況下，員工會盡力妥善處理敏感或機密資訊。但有時員工會犯錯誤，資訊會意外地在組織外部共享或違反組織的資訊保護政策。有時，員工可能出於惡意目的並為了個人利益而故意洩露或共享敏感和機密資訊。
• 違反公司政策的行動和行為。
  員工之間的溝通往往是有意或無意違反公司政策的根源。這些違規行為可能包括員工之間的攻擊性語言、威脅和網路霸凌。此類活動會造成敵對的工作環境，並可能導致針對員工和較大組織的法律訴訟。

內部風險管理流程

我們可以使用在 Microsoft 365 服務中具有預先定義條件和全面性活動訊號的政策模板(Policy template)，並會產生可行的洞察來快速識別和解決風險行為。

使用 Microsoft Purview 內部風險管理識別和解決內部風險活動和合規性問題使用以下工作流程：

1. Policies
   內部風險管理政策決定哪些員工在風險範圍內以及為風險告警配置哪些類型的risk indicators
2. Alerts
   內部風險管理告警由內部風險管理政策中定義的risk indicators自動產生。這些告警使資安人員能夠全面了解當前風險狀態，並允許組織對發現的風險進行分類並採取行動。
3. Triage
   資安人員可以快速識別內部風險告警並檢查每個告警以進行評估和分類。透過開啟新案例、將告警分配給現有案例或消除告警來處理告警。
4. Investigate
   在需要採取進一步行動來解決員工問題的情況下，會根據告警手動建立案例。
5. Action
   調查完案件的詳細資訊後，我們可以採取行動，向員工發送通知，將案件調整為處理完畢，或升級為資料或員工調查。

內部風險政策的管理

內部風險管理政策是使用預定義的範本和政策條件(policy conditions)建立的。這些條件定義了與可在 Microsoft Purview 功能中識別和檢查的特定風險活動相對應的risk indicators。這些條件還包括新增到政策的使用者、哪些服務具有優先順序以及監控時間區段(也就是人、事、時、地、物)。

政策儀錶板(Policy Dashboard)

透過政策儀表板，可以快速查看組織中的政策以及與每個政策所關聯的告警的當前狀態。

• Policy name：在政策設定中指派給政策的名稱。
• Active alerts：每個政策的活動告警數量。
• Confirmed alerts：過去 365 天內產生政策案例的告警總數。
• Actions taken on alerts：過去 365 天內確認或解除的告警總數。
• Policy effectiveness：確認的告警報總數 / 針對告警採取的操作總數（即過去一年中確認或消除的告警的總和）的百分比。
• Active：政策的狀態

政策範本(Policy templates)

這包含預定義的政策條件，這些條件定義了政策所監控的risk indicators的類型。在建立政策之前，我們需要在政策設定中為其指派範本。目前，我可以選擇以下模板類型。

1. 離職員工偷取資料
   此政策範本優先考量與離職員工竊取資料相關的風險指標，並將偵測和告警重點放在該風險領域。指標可能包括在員工辭職和結束日期的近期從 SharePoint Online 下載文件、將文件複製到 USB 等外部設備、列印文件以及將資料複製到非公司的App、服務或儲存服務等。
2. 資料外洩
   資料外洩包括在組織外部意外過度共享資訊或惡意竊取資料。此政策範本優先檢測可疑的 SharePoint Online 資料下載、文件和資料夾共用、將文件複製到 USB 隨身碟等可攜式裝置、列印檔案以及將資料複製到到非公司的App、服務或儲存服務等。

政策設定

內線風險設定(Insider risk settings)套用於所有內部風險管理政策，無論我們在建立政策時選擇什麼範本。使用位於所有內部風險管理標籤頂部的內部風險設定控制項來設定設定。這些設定控制隱私、indicators、監控視窗和智慧偵測。

隱私

保護具有政策匹配的使用者隱私非常重要，並且可以幫助提高內部風險告警的資料調查和分析審查的客觀性。對於具有內部風險政策匹配的使用者，我們可以選擇以下設定之一：

• Show anonymized versions of usernames:
  使用者名稱是匿名的，以防止管理員、資安人員看到誰與政策告警關聯。例如，使用者「Grace Taylor」將在內部風險管理流程的所有領域中以隨機化名（例如「AnonIS8–988」）出現。選擇此設定會對目前和過去的政策相符的所有使用者進行匿名化，並套用於所有策略。如果我們選擇關閉此設置，則將為所有具有當前或過去政策匹配的使用者顯示使用者名稱和使用者設定檔資訊。
• Do not show anonymized versions of usernames:
  對於所有內部風險管理告警和案例，都會向使用者顯示使用者名稱和使用者設定檔訊息，例如姓名、職務、別名以及組織或部門。

Indicator(指標)

每個政策範本都基於與特定風險活動相對應的特定指標，當使用者執行與這些指標相關的作業時，政策會觸發警報。若要定義在所有政策中啟用的指標，至「Settings> Indicators」並選擇一個或多個指標。我們必須先選擇一個或多個指標，然後才能收到政策中定義的風險活動告警。

Policy timeframes(政策時間表)

政策時間表可讓定義過去和未來的檢視期間，這些審核期將根據內線風險管理政策範本的事件和活動在保單匹配後觸發。您可以為所有策略範本選擇以下時間範圍：

• Activation window:
  對於任何使用者位於該政策之下，發生觸發事件之後(After)視窗啟動的天數（1 到 30）。例如，假設已設定內部風險管理政策並將啟動視窗設定為 30 天。配置政策好了之後，政策中包含的使用者之一發生了觸發事件。觸發事件將發動Activation window，並且該政策在接下來的 30 天內對該使用者有效。
• Past activity detection:
  對於該策略之下的任何使用者，在觸發事件發生之前(Before)視窗啟動的天數（0 到 90）。例如，假設已設定內部風險管理政策並將過去活動偵測設定為 90 天。哪自配置政策之後，政策中包含的使用者之一發生了觸發事件。觸發事件會追朔過去的歷史活動，政策會收集該使用者在觸發事件之前 90 天內的歷史活動。

Intelligent detections(智慧偵測)

在某些情況下，我們可能需要定義要忽略或強制的某些文件類型的偵測等級，以協助定義告警的最低限度。使用攻擊性語言政策時，可能需要提高或降低偵測靈敏度以控制報告的政策配對數量。智慧型偵測設定可控制檔案類型排除、檔案磁碟區限制和攻擊性語言偵測靈敏度。

異常偵測(Anomaly detections)

異常檢測包括文件類型排除和檔案數量限制的設定。

• File type exclusions:
  若要從所有內部風險管理政策配對中排除特定檔案類型，輸入以逗號分隔的檔案類型副檔名。例如，要從策略匹配中排除某些類型的音樂文件，可以在「File type exclusions」欄位中輸​​入 aac、mp3、wav、wma。所有內部風險管理政策都會忽略具有這些副檔名的檔案。
• File volume cut off limit:
  若要定義內部風險政策中回報活動告警之前的最低檔案等級，輸入文件數。例如，如果不想在使用者下載 20個或更少的檔案量時產生內部風險告警，可以輸入“20”，即使政策認為這是異常情況。

攻擊性語言偵測(Offensive language detections)

若要調整電子郵件有出現攻擊性語言的政策，我們需要使用"Offensive language in email"範本，並選擇以下設定之一：

• Low：偵測攻擊性語言和情緒的範圍最廣。攻擊性語言匹配的誤報機率升高。
• Medium：平衡性的偵測攻擊性語言和情緒的範圍。攻擊性語言匹配的誤報機率是平均的。
• High：偵測攻擊性語言和情緒的範圍較窄。攻擊性語言匹配的誤報機率較低。

建立與管理內部風險政策

在建立政策之前，有以下的預備步驟:

步驟一:Turn on audit logging

內部風險管理使用audit logs這一類的資料。audit logs是與內部風險管理政策或政策修改相關的所有活動的摘要。有關怎麼開啟audit log，參考 Turn Office 365 audit log search on or off。更改可能需要 60 分鐘才能生效。而且，在開啟audit後，搜尋audit log時可能需要幾個小時才能傳回結果。

步驟二:Assign permissions

Global admin需要使用 Microsoft Purview compliance portal中的Permissions module將相關資安人然指派到Insider Risk Management或Insider Risk Management Admin role group。一旦相關人員成為這些角色之一，就可以也將其他使用者指派到特定的角色群組，以管理不同的內部風險管理功能集。

根據組織的合規管理團隊的架構，我們可以選擇將使用者指派到特定角色群組，以管理不同的內部風險管理功能集。設定內部風險管理時，可以從下列角色群組選項中進行選擇：

• Insider Risk Management
  這是管理組織的內部風險管理。這是用來管以下三種角色(管理員、分析師和調查員)的所有使用者帳戶，可以在單一群組中設定內部風險管理權限。這角色是Insider Risk Management最高管理者。這是快速開始內部風險管理的最簡單方法，適合沒這麼資安人員的組織。
• Insider Risk Management Admin
  這可以用在內部風險管理的初始配置，然後將內部風險管理員切分到定義的群組中。此角色中的使用者可以建立、讀取、更新和刪除內部風險管理政策、全域設定和角色分配。
• Insider Risk Management Analysts
  這是充當內部風險案例分析師的使用者權限。此角色中的使用者可以存取所有內部風險管理告警、案例和通知範本。但他們無法存取insider risk Content Explorer。
• Insider Risk Management Investigators
  此角色中的使用者可以存取所有內部風險管理告報、案例、通知範本以及所有案例的Content Explorer。

選擇性步驟

兩個內部風險管理範本具有必須有policy indicators配置的依賴關係，以產生相關活動告警。而要步要使用具體取決於我們計劃為組織配置的政策。

離職員工資料竊取模板

如果使用這個範本，則需要設定 Microsoft 365 HR data connector，以便可以從第 3 方風險管理和HR平台匯入使用者和記錄資料。 HR data connector可從 CSV 檔案中取得HR資料，包括使用者終止和最後僱用日期。這些資料有助於推動內部風險管理政策中的警報指標，並且是在組織中配置全面風險管理覆蓋範圍的重要組成部分。

在設定 HR connector之前，必須滿足以下要求：

• Global admin需要讓 Office 365 Import service取組織中的資料。
• 建立 HR connector的使用者需要在 Exchange Online 中指派Mailbox Import Export role。
• 還要想辦法把HR系統的員工離職日相關資料給匯出成excel檔，看是本身HR系統有這功能，或是要搞一個第三方系統

簡單來說，建立connector的步驟是：

1. 在 Microsoft Entra ID 中建立應用程式。
2. 從 HR 系統產生 CSV 檔案
3. 在 Microsoft Purview compliance portal中建立 HR connector。
4. 執行腳本將 CSV 檔案中的 HR 資料上傳到 Microsoft Cloud。

更多的資訊請參照 Set up a connector to import HR data

資料外洩模板

內部風險管理可以運用 DLP 政策來幫助識別敏感資訊有意或無意分享給不應該分享的人員。使用資料外洩模板配置內部風險管理政策時，我們必須指派特定的 DLP 政策。此政策有助於驅動敏感資訊的警報指示器，並且是在組織中配置全面風險管理覆蓋範圍的重要部分。

注意:
為了不搞成一堆無意義的告警，只有在觸發大量 DLP 政策的event時才會觸發告警。例如，如果政策在電子郵件或文件中偵測到 5個或更多（但不少於）信用卡號碼，則會觸發告警。

建立一個新的內部風險管理政策

內部風險管理策略包括指派的使用者並定義為告警配置哪些類型的風險指示器。在活動觸發告警之前，必須先配置政策。

若要建立新的內部風險管理政策，可以使用 Microsoft Purview compliance portal中的內部風險管理解決方案中的policy wizard。簡而言之，可以透過逐步執行policy wizard和政策設定來配置以下項目來建立新政策：

1. Policy template
2. 此政策將應用於的使用者或群組（可選擇性地根據相關內容的位置、包含哪些敏感資訊以及應用哪些敏感度標籤，為偵測到的活動分配更高的風險評分）
3. Alert indicators（需要在「Policy Settings」下啟用Indicators，然後才能在建立政策時選到它們）
4. Duration — 監測持續時間（時間範圍）

更多的相關資訊請參閱 Create an insider risk policy