CTI論壇(ctiforum)9月8日消息（記者 李文杰): 隨著云端服務(wù)與移動(dòng)裝置普及所帶來(lái)的BYOD (Bring Your Own Device) 趨勢(shì)，單純的被動(dòng)防御已經(jīng)無(wú)法滿足企業(yè)整體的資訊安全防護(hù)需求。為協(xié)助企業(yè)化被動(dòng)防御為主動(dòng)偵測(cè)與預(yù)警，臺(tái)灣微軟今(三) 日發(fā)布進(jìn)階威脅分析技術(shù)(Advanced Threat Analytics，ATA)，通過(guò)分析、自我學(xué)習(xí)、偵測(cè)及預(yù)警四步驟，協(xié)助企業(yè)御敵于機(jī)先，同時(shí)結(jié)合企業(yè)移動(dòng)化管理方案(Enterprise Mobility Suite， EMS) 三大防護(hù)機(jī)制，建立移動(dòng)化世代全方位的資訊安全。

　　隨著移動(dòng)裝置普遍帶來(lái)「方便」，企業(yè)機(jī)密易因內(nèi)憂外患而泄漏，導(dǎo)致不可挽救的慘痛損失

　　在一個(gè)行移動(dòng)優(yōu)先、云端至上的世界，員工自攜裝置到工作場(chǎng)所的 BYOD趨勢(shì)與移動(dòng)網(wǎng)絡(luò)普及，讓員工可從不同地點(diǎn)、裝置存取企業(yè)資料以維持生產(chǎn)力，而導(dǎo)入移動(dòng)化的同時(shí)可能為企業(yè)帶來(lái)資料外泄的隱憂；此外，駭客通過(guò)網(wǎng)絡(luò)攻擊與威脅的頻率以及嚴(yán)重性也變得更加復(fù)雜且難以預(yù)防，加上臺(tái)灣近年來(lái)已經(jīng)從被「駭」對(duì)象轉(zhuǎn)變?yōu)轳斂凸�擊的加害跳板。根�?jù)統(tǒng)計(jì)，在眾多網(wǎng)絡(luò)攻擊中，企業(yè)目錄服務(wù)中的身分認(rèn)證是最常見的攻擊目標(biāo)，有76%被入侵的網(wǎng)絡(luò)都因?yàn)槭褂谜叩纳矸直获斂透`取所致；值得注意的是，當(dāng)企業(yè)環(huán)境遭受駭客或有心人士的攻擊，IT人員平均需要200天以上才能發(fā)現(xiàn)遭入侵的系統(tǒng)漏洞，國(guó)內(nèi)的企業(yè)則近一年，這段時(shí)間，可能已經(jīng)造成企業(yè)不可挽救的機(jī)密外泄損失；根據(jù)統(tǒng)計(jì)，企業(yè)因資安問(wèn)題造成的平均損失接近350萬(wàn)美元(相當(dāng)于新臺(tái)幣1億1千300萬(wàn)元)。近年常發(fā)生的身分認(rèn)證攻擊，包括駭客借網(wǎng)絡(luò)攻擊、竊取使用者認(rèn)證以提升權(quán)限，且以合法工具 (而非惡意程式碼) 做為攻擊手段的案例等也更見頻繁。

　　微軟企業(yè)移動(dòng)化管理方案(EMS) 四大防衛(wèi)機(jī)制  全面防護(hù)跨移動(dòng)裝置平臺(tái)的資訊安全

　　微軟因應(yīng)企業(yè)及移動(dòng)管理的趨勢(shì)，持續(xù)致力于強(qiáng)化企業(yè)資安藍(lán)圖的布局，協(xié)助企業(yè)能夠跨內(nèi)部部署 Active Directory Domain Services (AD DS) 與云端，以共通的身分識(shí)別整合基礎(chǔ)架構(gòu)技術(shù)環(huán)境；為此，微軟研發(fā)出「企業(yè)移動(dòng)化管理方案」EMS (Enterprise Mobility Suite) ，囊括混合式身分識(shí)別管理(Azure AD Premium) 、移動(dòng)裝置管理(Microsoft Intune) 、資訊保護(hù)(Azure Rights Management)、進(jìn)階威脅分析技術(shù)(Advanced Threat Analytics)等四大防護(hù)管理，建立完善防衛(wèi)機(jī)制，四大防護(hù)策略如下：

　　混合式身分識(shí)別管理(Azure AD Premium) ：幫助企業(yè)通過(guò)云端管理內(nèi)部部署目錄使用者的身份識(shí)別、基礎(chǔ)布建和存取管理，讓員工擁有適用的云端自助式密碼設(shè)定，而從機(jī)器學(xué)習(xí)導(dǎo)向的資訊安全報(bào)告，可顯示登入異常狀況和其他威脅。

　　移動(dòng)裝置管理(Microsoft Intune) ：企業(yè)可從云端管理及盤點(diǎn)所有電腦和各種跨平臺(tái)移動(dòng)裝置，員工可使用所喜愛(ài)的裝置工作，同時(shí)又可確保公司資料的安全。

　　資訊保護(hù)(Azure Rights Management) ：以云端或包含現(xiàn)有內(nèi)部部署基礎(chǔ)架構(gòu)的混合模式，透過(guò)簡(jiǎn)便易用的軟件開發(fā)套件 (SDK) 將資訊保護(hù)整合到公司應(yīng)用程式之中，保護(hù)公司資訊及資產(chǎn)。

　　進(jìn)階威脅分析技術(shù)(Microsoft Advanced Threat Analytics) ：通過(guò)內(nèi)建情報(bào)以識(shí)別可疑的使用者和裝置活動(dòng)運(yùn)用深層封包偵測(cè)技術(shù)以及其他資料來(lái)源所提供的資訊建立組織資訊安全圖表，并以近乎即時(shí)的方式偵測(cè)進(jìn)階攻擊。

　　「對(duì)IT或企業(yè)來(lái)說(shuō)，考量到的不只是跨平臺(tái)間的系統(tǒng)整合與部署，更需要的是移動(dòng)安全防護(hù)與安全威脅預(yù)警的機(jī)制；EMS多元的解決方案結(jié)合市場(chǎng)趨勢(shì)和技術(shù)實(shí)力，是企業(yè)邁入移動(dòng)與云端優(yōu)先世界的全方位資訊安全解決方案。」 臺(tái)灣微軟云端與企業(yè)平臺(tái)事業(yè)部副總經(jīng)理葉怡君特別強(qiáng)調(diào)：「移動(dòng)網(wǎng)絡(luò)與裝置的普及帶來(lái)的移動(dòng)資訊安全挑戰(zhàn)變化快速，僅有被動(dòng)防護(hù)仍有不足，EMS解決方案中的進(jìn)階威脅分析技術(shù)(ATA) 可把企業(yè)資訊安全系統(tǒng)從被動(dòng)防護(hù)提升到主動(dòng)分析、預(yù)測(cè)及預(yù)警的強(qiáng)化防護(hù)，讓EMS四大防護(hù)機(jī)制更加強(qiáng)化，進(jìn)而守護(hù)企業(yè)因應(yīng)移動(dòng)化世代的資訊安全�！�

　　通過(guò)微軟機(jī)器學(xué)習(xí)增強(qiáng)ATA的判斷與偵測(cè)能力  10倍加速資安威脅通報(bào)的時(shí)間

　　因應(yīng)大數(shù)據(jù)的新時(shí)代，微軟機(jī)器學(xué)習(xí)(Azure Machine Learning，ML) 成為企業(yè)資訊安全防護(hù)機(jī)制中能夠?qū)W習(xí)并偵測(cè)的重要推手；機(jī)器學(xué)習(xí)應(yīng)用主要結(jié)合于EMS四大防護(hù)機(jī)制的進(jìn)階威脅分析技術(shù)(ATA)，借由最短21天的主動(dòng)學(xué)習(xí)，記錄使用者行為、使用裝置與資源存取軌跡，并據(jù)此偵測(cè)是否有任何異常狀況、預(yù)測(cè)可能的資訊安全威脅發(fā)生，主動(dòng)通報(bào)預(yù)警，讓ATA能發(fā)掘出以往需要平均200天以上才能被發(fā)現(xiàn)的潛藏資安攻擊，縮短發(fā)現(xiàn)使用者異常行為的時(shí)間，大幅降低企業(yè)因資安危機(jī)所帶來(lái)的損失。

　　微軟自1994年開始推出機(jī)器學(xué)習(xí)(Machine Learning)服務(wù)的雛型后，持續(xù)在機(jī)器學(xué)習(xí)領(lǐng)域發(fā)展，借由結(jié)合Microsoft Azure云端運(yùn)算、大數(shù)據(jù)即時(shí)分析，持續(xù)地接受資料學(xué)習(xí)正確判斷、篩選內(nèi)容，甚至從中找出實(shí)用資料并進(jìn)一步預(yù)測(cè)，至今已廣泛運(yùn)用于各項(xiàng)產(chǎn)業(yè)，「企業(yè)資訊安全防護(hù)」更是其中重要的應(yīng)用之一，成為強(qiáng)化微軟進(jìn)階威脅分析技術(shù)(ATA) 的重要一環(huán)。

　　微軟進(jìn)階威脅分析技術(shù)(ATA) 預(yù)警四步驟 助企業(yè)快速部署，并通過(guò)主動(dòng)、嚴(yán)密、精細(xì)的演算保護(hù)身分驗(yàn)證服務(wù)

　　微軟進(jìn)階威脅分析技術(shù)(Advanced Threat Analysis，ATA) 是微軟新一代內(nèi)部部署平臺(tái)的資訊安全解決方案，它會(huì)自動(dòng)分析、學(xué)習(xí)和識(shí)別正常及非正常的實(shí)體 (使用者、裝置和資源) 行為，進(jìn)而保護(hù)企業(yè)以避免遭受進(jìn)階的鎖定目標(biāo)攻擊。借由四大御敵步驟，通過(guò)機(jī)器學(xué)習(xí)及主動(dòng)行為分析，預(yù)測(cè)、防范并主動(dòng)通知管理者不尋常行為及可能受到的危害，可為企業(yè)帶來(lái)即時(shí)威脅偵測(cè)、快速行為分析與動(dòng)態(tài)調(diào)整、減少預(yù)警誤報(bào)造成的消耗、有效聚焦出攻擊時(shí)間表等四大好處。進(jìn)階威脅分析技術(shù)(ATA) 的御敵四步驟詳述如下：

　　【步驟一：分析】

　　安裝完成后，只要使用預(yù)先設(shè)定、非侵入式的連接埠鏡像，即可將與AD相關(guān)的所有流量鏡像至 ATA，同時(shí)避免攻擊者察覺(jué)。ATA 會(huì)使用深層封包偵測(cè)技術(shù)來(lái)分析所有AD流量，可以從安全性資訊和事件管理(Security Information and Event Management， SIEM)，整合其他來(lái)源并收集相關(guān)事件。

　　【步驟二：自動(dòng)學(xué)習(xí)】

　　ATA 自動(dòng)通過(guò)機(jī)器學(xué)習(xí)(Azure Machine Learning)  學(xué)習(xí)和剖析使用者、裝置和資源的行為，然后運(yùn)用自身的自我學(xué)習(xí)技術(shù)建立組織資訊安全圖表。組織資訊安全圖表會(huì)對(duì)映到使用者、裝置和資源關(guān)聯(lián)性及活動(dòng)的實(shí)體互動(dòng)。

　　【步驟三：偵測(cè)】

　　在建立組織資訊安全圖表后，ATA 會(huì)開始找出實(shí)體行為中的任何異常現(xiàn)象，并識(shí)別可疑活動(dòng)。不過(guò)，這些不正常活動(dòng)要先經(jīng)過(guò)資安管理人員進(jìn)行關(guān)聯(lián)性匯整及確認(rèn)。

　　【步驟四：發(fā)報(bào)警告】

　　ATA將會(huì)通報(bào)不正常和可疑活動(dòng)，并且，為了進(jìn)一步提高預(yù)警準(zhǔn)確度以節(jié)省IT的時(shí)間和資源減耗，ATA會(huì)在發(fā)出警示之前比較實(shí)體行為和自身行為，及比較互動(dòng)路徑中其他實(shí)體的行為，大幅降低誤判數(shù)量讓IT更能集中對(duì)付實(shí)際威脅。

　　此外，ATA更可通過(guò)機(jī)器學(xué)習(xí)，在分析和記錄使用者、裝置、資源等實(shí)體的行為后自我學(xué)習(xí)，以應(yīng)付快速演化的網(wǎng)絡(luò)攻擊；葉怡君進(jìn)一步呼吁，網(wǎng)絡(luò)攻擊防御不可忽視，尤其對(duì)于公司機(jī)密若不慎外流或被不法使用，將導(dǎo)致嚴(yán)重?zé)o法挽救損失的企業(yè)客戶而言，如政府機(jī)構(gòu)、金融產(chǎn)業(yè)或科技資訊產(chǎn)業(yè)等，都應(yīng)該更加倍重視企業(yè)資訊安全的管理，借由導(dǎo)入為企業(yè)量身打造的客制化的EMS+ATA全方位解決方案，共同強(qiáng)化企業(yè)防護(hù)機(jī)制，更啟動(dòng)積極的主動(dòng)分析、預(yù)測(cè)及預(yù)警的加持防護(hù)，為企業(yè)創(chuàng)造加倍雙乘的企業(yè)資訊安全防護(hù)效益。