微軟發表殺手級行動資安平台

作者 | 發布日期 2015 年 09 月 08 日 16:20 | 分類 Microsoft , 市場動態 , 資訊安全 follow us in feedly

隨著雲端服務與行動裝置普及所帶來的 BYOD (Bring Your Own Device) 趨勢,單純的被動防禦已經無法滿足企業整體的資安防護需求。為協助企業化被動防禦為主動偵測與預警,台灣微軟 3 日發表進階威脅分析技術(Advanced Threat Analytics,ATA) ,透過分析、自我學習、偵測及預警四步驟,協助企業禦敵於機先,同時結合企業行動化管理方案(Enterprise Mobility Suite,EMS) 三大防護機制,建立行動化世代全方位的資訊安全。



隨著行動裝置普遍帶來「方便」,企業機密易因內憂外患而洩漏

在一個行動優先、雲端至上的世界,員工自攜裝置到工作場所的 BYOD 趨勢與行動網路普及,讓員工可從不同地點、裝置存取企業資料以維持生產力,而導入行動化的同時可能為企業帶來資料外洩的隱憂;此外,駭客透過網路攻擊與威脅的頻率以及嚴重性也變得更加複雜且難以預防,加上台灣近年來已經從被「駭」對象轉變為駭客攻擊的加害跳板。根據統計,在眾多網路攻擊中,企業目錄服務中的身分認證是最常見的攻擊目標,有 76% 被入侵的網路都因為使用者的身分被駭客竊取所致;值得注意的是,當企業環境遭受駭客或有心人士的攻擊,IT人員平均需要 200 天以上才能發現遭入侵的系統漏洞,國內的企業則近一年,這段時間,可能已經造成企業不可挽救的機密外洩損失;根據統計,企業因資安問題造成的平均損失接近 350 萬美元(相當於新台幣 1 億 1,300 萬元)。近年常發生的身分認證攻擊,包括駭客藉網路攻擊、竊取使用者認證以提升權限,且以合法工具 (而非惡意程式碼)  做為攻擊手段的案例等也更見頻繁。

image004

微軟企業行動化管理方案四大防衛機制,全面防護跨行動裝置平台的資訊安全

微軟因應企業及行動管理的趨勢,持續致力於強化企業資安藍圖的布局,協助企業能夠跨內部部署 Active Directory Domain Services (ADDS) 與雲端,以共通的身分識別整合基礎架構技術環境;為此,微軟研發出「企業行動化管理方案」EMS (Enterprise Mobility Suite) ,囊括混合式身分識別管理(Azure AD Premium) 、行動裝置管理(Microsoft Intune) 、資訊保護(Azure Rights Management)、進階威脅分析技術(Advanced Threat Analytics) 等四大防護管理,建立完善防衛機制,四大防護策略如下:

  • 混合式身分識別管理(Azure AD Premium) :幫助企業透過雲端管理內部部署目錄使用者的身份識別、基礎布建和存取管理,讓員工擁有適用的雲端自助式密碼設定,而從機器學習導向的資訊安全報告,可顯示登入異常狀況和其他威脅。
  • 行動裝置管理(Microsoft Intune) :企業可從雲端管理及盤點所有電腦和各種跨平台行動裝置,員工可使用所喜愛的裝置工作,同時又可確保公司資料的安全。
  • 資訊保護(Azure Rights Management) :以雲端或包含現有內部部署基礎架構的混合模式,透過簡便易用的軟體開發套件 (SDK) 將資訊保護整合到公司應用程式之中,保護公司資訊及資產。
  • 進階威脅分析技術(Microsoft Advanced Threat Analytics) :透過內建情報以識別可疑的使用者和裝置活動運用深層封包偵測技術以及其他資料來源所提供的資訊建立組織資訊安全圖表,並以近乎即時的方式偵測進階攻擊。

「對 IT 或企業來說,考量到的不只是跨平台間的系統整合與部署,更需要的是行動安全防護與安全威脅預警的機制;EMS 多元的解決方案結合市場趨勢和技術實力,是企業邁入行動與雲端優先世界的全方位資訊安全解決方案。」 台灣微軟雲端與企業平台事業部副總經理葉怡君特別強調:「行動網路與裝置的普及帶來的行動資安挑戰變化快速,僅有被動防護仍有不足,EMS 解決方案中的進階威脅分析技術(ATA) 可把企業資安系統從被動防護提升到主動分析、預測及預警的強化防護,讓 EMS 四大防護機制更加強化,進而守護企業因應行動化世代的資訊安全。」

 

透過微軟機器學習增強 ATA 的判斷與偵測能力,10 倍加速資安威脅通報的時間

因應大數據的新時代,微軟機器學習(Machine Learning,ML) 成為企業資安防護機制中能夠學習並偵測的重要推手;機器學習應用主要結合於 EMS 四大防護機制的進階威脅分析技術(ATA),藉由最短 21 天的主動學習,記錄使用者行為、使用裝置與資源存取軌跡,並據此偵測是否有任何異常狀況、預測可能的資安威脅發生,主動通報預警,讓 ATA 能發掘出以往需要平均 200 天以上才能被發現的潛藏資安攻擊,縮短發現使用者異常行為的時間,大幅降低企業因資安危機所帶來的損失。

微軟自 1994 年開始推出機器學習(Machine Learning)服務的雛型後,持續在機器學習領域發展,藉由結合 Microsoft Azure 雲端運算、大數據即時分析,持續地接受資料學習正確判斷、篩選內容,甚至從中找出實用資料並進一步預測,至今已廣泛運用於各項產業,「企業資安防護」更是其中重要的應用之一,成為強化微軟進階威脅分析技術(ATA) 的重要一環。

 

微軟進階威脅分析技術(ATA) 預警四步驟,助企業快速部署

微軟進階威脅分析技術(Advanced Threat Analysis,ATA) 是微軟新一代內部部署平台的資安解決方案,它會自動分析、學習和識別正常及非正常的實體 (使用者、裝置和資源) 行為,進而保護企業以避免遭受進階的鎖定目標攻擊。藉由四大禦敵步驟,透過機器學習及主動行為分析,預測、防範並主動通知管理者不尋常行為及可能受到的危害,可為企業帶來即時威脅偵測、快速行為分析與動態調整、減少預警誤報造成的消耗、有效聚焦出攻擊時間表等四大好處。進階威脅分析技術(ATA) 的禦敵四步驟詳述如下:

步驟一:分析
安裝完成後,只要使用預先設定、非侵入式的連接埠鏡像,即可將與 AD 相關的所有流量鏡像至 ATA,同時避免攻擊者察覺。ATA 會使用深層封包偵測技術來分析所有 AD 流量,可以從安全性資訊和事件管理(Security Information and Event Management, SIEM),整合其他來源並收集相關事件。

步驟二:自動學習
ATA 自動透過機器學習(Machine Learning) 學習和剖析使用者、裝置和資源的行為,然後運用自身的自我學習技術建立組織資訊安全圖表。組織資訊安全圖表會對映到使用者、裝置和資源關聯性及活動的實體互動。

步驟三:偵測
在建立組織資訊安全圖表後,ATA 會開始找出實體行為中的任何異常現象,並識別可疑活動。不過,這些不正常活動要先經過資安管理人員進行關聯性彙整及確認。

步驟四:發報警告
ATA 將會通報不正常和可疑活動,並且,為了進一步提高預警準確度以節省 IT 的時間和資源減耗,ATA 會在發出警示之前比較實體行為和自身行為,及比較互動路徑中其他實體的行為,大幅降低誤判數量讓 IT 更能集中對付實際威脅。

此外,ATA 更可透過機器學習,在分析和記錄使用者、裝置、資源等實體的行為後自我學習,以應付快速演化的網路攻擊;葉怡君進一步呼籲,網路攻擊防禦不可忽視,尤其對於公司機密若不慎外流或被不法使用,將導致嚴重無法挽救損失的企業客戶而言,如政府機構、金融產業或科技資訊產業等,都應該更加倍重視企業資安的管理,藉由導入為企業量身打造的客製化的 EMS+ATA 全方位解決方案,共同強化企業防護機制,更啟動積極的主動分析、預測及預警的加持防護,為企業創造加倍雙乘的企業資安防護效益。 

發表迴響