当前位置: 主页 > 现状VR >微软发表杀手级行动资安平台 >

微软发表杀手级行动资安平台

点赞:275 时间:2019-05-22 阅读量:187

微软发表杀手级行动资安平台

随着云端服务与行动装置普及所带来的 BYOD (Bring Your Own Device) 趋势,单纯的被动防御已经无法满足企业整体的资安防护需求。为协助企业化被动防御为主动侦测与预警,台湾微软 3 日发表进阶威胁分析技术(Advanced Threat Analytics,ATA) ,透过分析、自我学习、侦测及预警四步骤,协助企业御敌于机先,同时结合企业行动化管理方案(Enterprise Mobility Suite,EMS) 三大防护机制,建立行动化世代全方位的资讯安全。

随着行动装置普遍带来「方便」,企业机密易因内忧外患而洩漏

在一个行动优先、云端至上的世界,员工自携装置到工作场所的 BYOD 趋势与行动网路普及,让员工可从不同地点、装置存取企业资料以维持生产力,而导入行动化的同时可能为企业带来资料外洩的隐忧;此外,骇客透过网路攻击与威胁的频率以及严重性也变得更加複杂且难以预防,加上台湾近年来已经从被「骇」对象转变为骇客攻击的加害跳板。根据统计,在众多网路攻击中,企业目录服务中的身分认证是最常见的攻击目标,有 76% 被入侵的网路都因为使用者的身分被骇客窃取所致;值得注意的是,当企业环境遭受骇客或有心人士的攻击,IT人员平均需要 200 天以上才能发现遭入侵的系统漏洞,国内的企业则近一年,这段时间,可能已经造成企业不可挽救的机密外洩损失;根据统计,企业因资安问题造成的平均损失接近 350 万美元(相当于新台币 1 亿 1,300 万元)。近年常发生的身分认证攻击,包括骇客藉网路攻击、窃取使用者认证以提升权限,且以合法工具 (而非恶意程式码)  做为攻击手段的案例等也更见频繁。

微软发表杀手级行动资安平台微软企业行动化管理方案四大防卫机制,全面防护跨行动装置平台的资讯安全

微软因应企业及行动管理的趋势,持续致力于强化企业资安蓝图的布局,协助企业能够跨内部部署 Active Directory Domain Services (ADDS) 与云端,以共通的身分识别整合基础架构技术环境;为此,微软研发出「企业行动化管理方案」EMS (Enterprise Mobility Suite) ,囊括混合式身分识别管理(Azure AD Premium) 、行动装置管理(Microsoft Intune) 、资讯保护(Azure Rights Management)、进阶威胁分析技术(Advanced Threat Analytics) 等四大防护管理,建立完善防卫机制,四大防护策略如下:

「对 IT 或企业来说,考量到的不只是跨平台间的系统整合与部署,更需要的是行动安全防护与安全威胁预警的机制;EMS 多元的解决方案结合市场趋势和技术实力,是企业迈入行动与云端优先世界的全方位资讯安全解决方案。」 台湾微软云端与企业平台事业部副总经理叶怡君特别强调:「行动网路与装置的普及带来的行动资安挑战变化快速,仅有被动防护仍有不足,EMS 解决方案中的进阶威胁分析技术(ATA) 可把企业资安系统从被动防护提升到主动分析、预测及预警的强化防护,让 EMS 四大防护机制更加强化,进而守护企业因应行动化世代的资讯安全。」

透过微软机器学习增强 ATA 的判断与侦测能力,10 倍加速资安威胁通报的时间

因应大数据的新时代,微软机器学习(Machine Learning,ML) 成为企业资安防护机制中能够学习并侦测的重要推手;机器学习应用主要结合于 EMS 四大防护机制的进阶威胁分析技术(ATA),藉由最短 21 天的主动学习,记录使用者行为、使用装置与资源存取轨迹,并据此侦测是否有任何异常状况、预测可能的资安威胁发生,主动通报预警,让 ATA 能发掘出以往需要平均 200 天以上才能被发现的潜藏资安攻击,缩短发现使用者异常行为的时间,大幅降低企业因资安危机所带来的损失。

微软自 1994 年开始推出机器学习(Machine Learning)服务的雏型后,持续在机器学习领域发展,藉由结合 Microsoft Azure 云端运算、大数据即时分析,持续地接受资料学习正确判断、筛选内容,甚至从中找出实用资料并进一步预测,至今已广泛运用于各项产业,「企业资安防护」更是其中重要的应用之一,成为强化微软进阶威胁分析技术(ATA) 的重要一环。

微软进阶威胁分析技术(ATA) 预警四步骤,助企业快速部署

微软进阶威胁分析技术(Advanced Threat Analysis,ATA) 是微软新一代内部部署平台的资安解决方案,它会自动分析、学习和识别正常及非正常的实体 (使用者、装置和资源) 行为,进而保护企业以避免遭受进阶的锁定目标攻击。藉由四大御敌步骤,透过机器学习及主动行为分析,预测、防範并主动通知管理者不寻常行为及可能受到的危害,可为企业带来即时威胁侦测、快速行为分析与动态调整、减少预警误报造成的消耗、有效聚焦出攻击时间表等四大好处。进阶威胁分析技术(ATA) 的御敌四步骤详述如下:

步骤一:分析
安装完成后,只要使用预先设定、非侵入式的连接埠镜像,即可将与 AD 相关的所有流量镜像至 ATA,同时避免攻击者察觉。ATA 会使用深层封包侦测技术来分析所有 AD 流量,可以从安全性资讯和事件管理(Security Information and Event Management, SIEM),整合其他来源并收集相关事件。

步骤二:自动学习
ATA 自动透过机器学习(Machine Learning) 学习和剖析使用者、装置和资源的行为,然后运用自身的自我学习技术建立组织资讯安全图表。组织资讯安全图表会对映到使用者、装置和资源关联性及活动的实体互动。

步骤三:侦测
在建立组织资讯安全图表后,ATA 会开始找出实体行为中的任何异常现象,并识别可疑活动。不过,这些不正常活动要先经过资安管理人员进行关联性彙整及确认。

步骤四:发报警告
ATA 将会通报不正常和可疑活动,并且,为了进一步提高预警準确度以节省 IT 的时间和资源减耗,ATA 会在发出警示之前比较实体行为和自身行为,及比较互动路径中其他实体的行为,大幅降低误判数量让 IT 更能集中对付实际威胁。

此外,ATA 更可透过机器学习,在分析和记录使用者、装置、资源等实体的行为后自我学习,以应付快速演化的网路攻击;叶怡君进一步呼吁,网路攻击防御不可忽视,尤其对于公司机密若不慎外流或被不法使用,将导致严重无法挽救损失的企业客户而言,如政府机构、金融产业或科技资讯产业等,都应该更加倍重视企业资安的管理,藉由导入为企业量身打造的客製化的 EMS+ATA 全方位解决方案,共同强化企业防护机制,更启动积极的主动分析、预测及预警的加持防护,为企业创造加倍双乘的企业资安防护效益。

相关文章