CTI論壇(ctiforum)9月8日消息(記者 李文杰): 隨著云端服務(wù)與移動裝置普及所帶來的BYOD (Bring Your Own Device) 趨勢,單純的被動防御已經(jīng)無法滿足企業(yè)整體的資訊安全防護需求。為協(xié)助企業(yè)化被動防御為主動偵測與預警,臺灣微軟今(三) 日發(fā)布進階威脅分析技術(shù)(Advanced Threat Analytics,ATA),通過分析、自我學習、偵測及預警四步驟,協(xié)助企業(yè)御敵于機先,同時結(jié)合企業(yè)移動化管理方案(Enterprise Mobility Suite, EMS) 三大防護機制,建立移動化世代全方位的資訊安全。
隨著移動裝置普遍帶來「方便」,企業(yè)機密易因內(nèi)憂外患而泄漏,導致不可挽救的慘痛損失
在一個行移動優(yōu)先、云端至上的世界,員工自攜裝置到工作場所的 BYOD趨勢與移動網(wǎng)絡(luò)普及,讓員工可從不同地點、裝置存取企業(yè)資料以維持生產(chǎn)力,而導入移動化的同時可能為企業(yè)帶來資料外泄的隱憂;此外,駭客通過網(wǎng)絡(luò)攻擊與威脅的頻率以及嚴重性也變得更加復雜且難以預防,加上臺灣近年來已經(jīng)從被「駭」對象轉(zhuǎn)變?yōu)轳斂凸舻募雍μ。根?jù)統(tǒng)計,在眾多網(wǎng)絡(luò)攻擊中,企業(yè)目錄服務(wù)中的身分認證是最常見的攻擊目標,有76%被入侵的網(wǎng)絡(luò)都因為使用者的身分被駭客竊取所致;值得注意的是,當企業(yè)環(huán)境遭受駭客或有心人士的攻擊,IT人員平均需要200天以上才能發(fā)現(xiàn)遭入侵的系統(tǒng)漏洞,國內(nèi)的企業(yè)則近一年,這段時間,可能已經(jīng)造成企業(yè)不可挽救的機密外泄損失;根據(jù)統(tǒng)計,企業(yè)因資安問題造成的平均損失接近350萬美元(相當于新臺幣1億1千300萬元)。近年常發(fā)生的身分認證攻擊,包括駭客借網(wǎng)絡(luò)攻擊、竊取使用者認證以提升權(quán)限,且以合法工具 (而非惡意程式碼) 做為攻擊手段的案例等也更見頻繁。
微軟企業(yè)移動化管理方案(EMS) 四大防衛(wèi)機制 全面防護跨移動裝置平臺的資訊安全
微軟因應(yīng)企業(yè)及移動管理的趨勢,持續(xù)致力于強化企業(yè)資安藍圖的布局,協(xié)助企業(yè)能夠跨內(nèi)部部署 Active Directory Domain Services (AD DS) 與云端,以共通的身分識別整合基礎(chǔ)架構(gòu)技術(shù)環(huán)境;為此,微軟研發(fā)出「企業(yè)移動化管理方案」EMS (Enterprise Mobility Suite) ,囊括混合式身分識別管理(Azure AD Premium) 、移動裝置管理(Microsoft Intune) 、資訊保護(Azure Rights Management)、進階威脅分析技術(shù)(Advanced Threat Analytics)等四大防護管理,建立完善防衛(wèi)機制,四大防護策略如下:
混合式身分識別管理(Azure AD Premium) :幫助企業(yè)通過云端管理內(nèi)部部署目錄使用者的身份識別、基礎(chǔ)布建和存取管理,讓員工擁有適用的云端自助式密碼設(shè)定,而從機器學習導向的資訊安全報告,可顯示登入異常狀況和其他威脅。
移動裝置管理(Microsoft Intune) :企業(yè)可從云端管理及盤點所有電腦和各種跨平臺移動裝置,員工可使用所喜愛的裝置工作,同時又可確保公司資料的安全。
資訊保護(Azure Rights Management) :以云端或包含現(xiàn)有內(nèi)部部署基礎(chǔ)架構(gòu)的混合模式,透過簡便易用的軟件開發(fā)套件 (SDK) 將資訊保護整合到公司應(yīng)用程式之中,保護公司資訊及資產(chǎn)。
進階威脅分析技術(shù)(Microsoft Advanced Threat Analytics) :通過內(nèi)建情報以識別可疑的使用者和裝置活動運用深層封包偵測技術(shù)以及其他資料來源所提供的資訊建立組織資訊安全圖表,并以近乎即時的方式偵測進階攻擊。
「對IT或企業(yè)來說,考量到的不只是跨平臺間的系統(tǒng)整合與部署,更需要的是移動安全防護與安全威脅預警的機制;EMS多元的解決方案結(jié)合市場趨勢和技術(shù)實力,是企業(yè)邁入移動與云端優(yōu)先世界的全方位資訊安全解決方案! 臺灣微軟云端與企業(yè)平臺事業(yè)部副總經(jīng)理葉怡君特別強調(diào):「移動網(wǎng)絡(luò)與裝置的普及帶來的移動資訊安全挑戰(zhàn)變化快速,僅有被動防護仍有不足,EMS解決方案中的進階威脅分析技術(shù)(ATA) 可把企業(yè)資訊安全系統(tǒng)從被動防護提升到主動分析、預測及預警的強化防護,讓EMS四大防護機制更加強化,進而守護企業(yè)因應(yīng)移動化世代的資訊安全!
通過微軟機器學習增強ATA的判斷與偵測能力 10倍加速資安威脅通報的時間
因應(yīng)大數(shù)據(jù)的新時代,微軟機器學習(Azure Machine Learning,ML) 成為企業(yè)資訊安全防護機制中能夠?qū)W習并偵測的重要推手;機器學習應(yīng)用主要結(jié)合于EMS四大防護機制的進階威脅分析技術(shù)(ATA),借由最短21天的主動學習,記錄使用者行為、使用裝置與資源存取軌跡,并據(jù)此偵測是否有任何異常狀況、預測可能的資訊安全威脅發(fā)生,主動通報預警,讓ATA能發(fā)掘出以往需要平均200天以上才能被發(fā)現(xiàn)的潛藏資安攻擊,縮短發(fā)現(xiàn)使用者異常行為的時間,大幅降低企業(yè)因資安危機所帶來的損失。
微軟自1994年開始推出機器學習(Machine Learning)服務(wù)的雛型后,持續(xù)在機器學習領(lǐng)域發(fā)展,借由結(jié)合Microsoft Azure云端運算、大數(shù)據(jù)即時分析,持續(xù)地接受資料學習正確判斷、篩選內(nèi)容,甚至從中找出實用資料并進一步預測,至今已廣泛運用于各項產(chǎn)業(yè),「企業(yè)資訊安全防護」更是其中重要的應(yīng)用之一,成為強化微軟進階威脅分析技術(shù)(ATA) 的重要一環(huán)。
微軟進階威脅分析技術(shù)(ATA) 預警四步驟 助企業(yè)快速部署,并通過主動、嚴密、精細的演算保護身分驗證服務(wù)
微軟進階威脅分析技術(shù)(Advanced Threat Analysis,ATA) 是微軟新一代內(nèi)部部署平臺的資訊安全解決方案,它會自動分析、學習和識別正常及非正常的實體 (使用者、裝置和資源) 行為,進而保護企業(yè)以避免遭受進階的鎖定目標攻擊。借由四大御敵步驟,通過機器學習及主動行為分析,預測、防范并主動通知管理者不尋常行為及可能受到的危害,可為企業(yè)帶來即時威脅偵測、快速行為分析與動態(tài)調(diào)整、減少預警誤報造成的消耗、有效聚焦出攻擊時間表等四大好處。進階威脅分析技術(shù)(ATA) 的御敵四步驟詳述如下:
【步驟一:分析】
安裝完成后,只要使用預先設(shè)定、非侵入式的連接埠鏡像,即可將與AD相關(guān)的所有流量鏡像至 ATA,同時避免攻擊者察覺。ATA 會使用深層封包偵測技術(shù)來分析所有AD流量,可以從安全性資訊和事件管理(Security Information and Event Management, SIEM),整合其他來源并收集相關(guān)事件。
【步驟二:自動學習】
ATA 自動通過機器學習(Azure Machine Learning) 學習和剖析使用者、裝置和資源的行為,然后運用自身的自我學習技術(shù)建立組織資訊安全圖表。組織資訊安全圖表會對映到使用者、裝置和資源關(guān)聯(lián)性及活動的實體互動。
【步驟三:偵測】
在建立組織資訊安全圖表后,ATA 會開始找出實體行為中的任何異,F(xiàn)象,并識別可疑活動。不過,這些不正常活動要先經(jīng)過資安管理人員進行關(guān)聯(lián)性匯整及確認。
【步驟四:發(fā)報警告】
ATA將會通報不正常和可疑活動,并且,為了進一步提高預警準確度以節(jié)省IT的時間和資源減耗,ATA會在發(fā)出警示之前比較實體行為和自身行為,及比較互動路徑中其他實體的行為,大幅降低誤判數(shù)量讓IT更能集中對付實際威脅。
此外,ATA更可通過機器學習,在分析和記錄使用者、裝置、資源等實體的行為后自我學習,以應(yīng)付快速演化的網(wǎng)絡(luò)攻擊;葉怡君進一步呼吁,網(wǎng)絡(luò)攻擊防御不可忽視,尤其對于公司機密若不慎外流或被不法使用,將導致嚴重無法挽救損失的企業(yè)客戶而言,如政府機構(gòu)、金融產(chǎn)業(yè)或科技資訊產(chǎn)業(yè)等,都應(yīng)該更加倍重視企業(yè)資訊安全的管理,借由導入為企業(yè)量身打造的客制化的EMS+ATA全方位解決方案,共同強化企業(yè)防護機制,更啟動積極的主動分析、預測及預警的加持防護,為企業(yè)創(chuàng)造加倍雙乘的企業(yè)資訊安全防護效益。