微軟發(fā)布?xì)⑹旨壱苿淤Y訊安全平臺

　　CTI論壇(ctiforum)9月8日消息（記者 李文杰): 隨著云端服務(wù)與移動裝置普及所帶來的BYOD (Bring Your Own Device) 趨勢，單純的被動防御已經(jīng)無法滿足企業(yè)整體的資訊安全防護需求。為協(xié)助企業(yè)化被動防御為主動偵測與預(yù)警，臺灣微軟今(三) 日發(fā)布進階威脅分析技術(shù)(Advanced Threat Analytics，ATA)，通過分析、自我學(xué)習(xí)、偵測及預(yù)警四步驟，協(xié)助企業(yè)御敵于機先，同時結(jié)合企業(yè)移動化管理方案(Enterprise Mobility Suite， EMS) 三大防護機制，建立移動化世代全方位的資訊安全。

　　隨著移動裝置普遍帶來「方便」，企業(yè)機密易因內(nèi)憂外患而泄漏，導(dǎo)致不可挽救的慘痛損失

　　在一個行移動優(yōu)先、云端至上的世界，員工自攜裝置到工作場所的 BYOD趨勢與移動網(wǎng)絡(luò)普及，讓員工可從不同地點、裝置存取企業(yè)資料以維持生產(chǎn)力，而導(dǎo)入移動化的同時可能為企業(yè)帶來資料外泄的隱憂；此外，駭客通過網(wǎng)絡(luò)攻擊與威脅的頻率以及嚴(yán)重性也變得更加復(fù)雜且難以預(yù)防，加上臺灣近年來已經(jīng)從被「駭」對象轉(zhuǎn)變?yōu)轳斂凸�擊的加害跳板。根�?jù)統(tǒng)計，在眾多網(wǎng)絡(luò)攻擊中，企業(yè)目錄服務(wù)中的身分認(rèn)證是最常見的攻擊目標(biāo)，有76%被入侵的網(wǎng)絡(luò)都因為使用者的身分被駭客竊取所致；值得注意的是，當(dāng)企業(yè)環(huán)境遭受駭客或有心人士的攻擊，IT人員平均需要200天以上才能發(fā)現(xiàn)遭入侵的系統(tǒng)漏洞，國內(nèi)的企業(yè)則近一年，這段時間，可能已經(jīng)造成企業(yè)不可挽救的機密外泄損失；根據(jù)統(tǒng)計，企業(yè)因資安問題造成的平均損失接近350萬美元(相當(dāng)于新臺幣1億1千300萬元)。近年常發(fā)生的身分認(rèn)證攻擊，包括駭客借網(wǎng)絡(luò)攻擊、竊取使用者認(rèn)證以提升權(quán)限，且以合法工具 (而非惡意程式碼) 做為攻擊手段的案例等也更見頻繁。

　　微軟企業(yè)移動化管理方案(EMS) 四大防衛(wèi)機制  全面防護跨移動裝置平臺的資訊安全

　　微軟因應(yīng)企業(yè)及移動管理的趨勢，持續(xù)致力于強化企業(yè)資安藍(lán)圖的布局，協(xié)助企業(yè)能夠跨內(nèi)部部署 Active Directory Domain Services (AD DS) 與云端，以共通的身分識別整合基礎(chǔ)架構(gòu)技術(shù)環(huán)境；為此，微軟研發(fā)出「企業(yè)移動化管理方案」EMS (Enterprise Mobility Suite) ，囊括混合式身分識別管理(Azure AD Premium) 、移動裝置管理(Microsoft Intune) 、資訊保護(Azure Rights Management)、進階威脅分析技術(shù)(Advanced Threat Analytics)等四大防護管理，建立完善防衛(wèi)機制，四大防護策略如下：

　　混合式身分識別管理(Azure AD Premium) ：幫助企業(yè)通過云端管理內(nèi)部部署目錄使用者的身份識別、基礎(chǔ)布建和存取管理，讓員工擁有適用的云端自助式密碼設(shè)定，而從機器學(xué)習(xí)導(dǎo)向的資訊安全報告，可顯示登入異常狀況和其他威脅。

　　移動裝置管理(Microsoft Intune) ：企業(yè)可從云端管理及盤點所有電腦和各種跨平臺移動裝置，員工可使用所喜愛的裝置工作，同時又可確保公司資料的安全。

　　資訊保護(Azure Rights Management) ：以云端或包含現(xiàn)有內(nèi)部部署基礎(chǔ)架構(gòu)的混合模式，透過簡便易用的軟件開發(fā)套件 (SDK) 將資訊保護整合到公司應(yīng)用程式之中，保護公司資訊及資產(chǎn)。

　　進階威脅分析技術(shù)(Microsoft Advanced Threat Analytics) ：通過內(nèi)建情報以識別可疑的使用者和裝置活動運用深層封包偵測技術(shù)以及其他資料來源所提供的資訊建立組織資訊安全圖表，并以近乎即時的方式偵測進階攻擊。

　　「對IT或企業(yè)來說，考量到的不只是跨平臺間的系統(tǒng)整合與部署，更需要的是移動安全防護與安全威脅預(yù)警的機制；EMS多元的解決方案結(jié)合市場趨勢和技術(shù)實力，是企業(yè)邁入移動與云端優(yōu)先世界的全方位資訊安全解決方案�！� 臺灣微軟云端與企業(yè)平臺事業(yè)部副總經(jīng)理葉怡君特別強調(diào)：「移動網(wǎng)絡(luò)與裝置的普及帶來的移動資訊安全挑戰(zhàn)變化快速，僅有被動防護仍有不足，EMS解決方案中的進階威脅分析技術(shù)(ATA) 可把企業(yè)資訊安全系統(tǒng)從被動防護提升到主動分析、預(yù)測及預(yù)警的強化防護，讓EMS四大防護機制更加強化，進而守護企業(yè)因應(yīng)移動化世代的資訊安全�！�

　　通過微軟機器學(xué)習(xí)增強ATA的判斷與偵測能力  10倍加速資安威脅通報的時間

　　因應(yīng)大數(shù)據(jù)的新時代，微軟機器學(xué)習(xí)(Azure Machine Learning，ML) 成為企業(yè)資訊安全防護機制中能夠?qū)W習(xí)并偵測的重要推手；機器學(xué)習(xí)應(yīng)用主要結(jié)合于EMS四大防護機制的進階威脅分析技術(shù)(ATA)，借由最短21天的主動學(xué)習(xí)，記錄使用者行為、使用裝置與資源存取軌跡，并據(jù)此偵測是否有任何異常狀況、預(yù)測可能的資訊安全威脅發(fā)生，主動通報預(yù)警，讓ATA能發(fā)掘出以往需要平均200天以上才能被發(fā)現(xiàn)的潛藏資安攻擊，縮短發(fā)現(xiàn)使用者異常行為的時間，大幅降低企業(yè)因資安危機所帶來的損失。

　　微軟自1994年開始推出機器學(xué)習(xí)(Machine Learning)服務(wù)的雛型后，持續(xù)在機器學(xué)習(xí)領(lǐng)域發(fā)展，借由結(jié)合Microsoft Azure云端運算、大數(shù)據(jù)即時分析，持續(xù)地接受資料學(xué)習(xí)正確判斷、篩選內(nèi)容，甚至從中找出實用資料并進一步預(yù)測，至今已廣泛運用于各項產(chǎn)業(yè)，「企業(yè)資訊安全防護」更是其中重要的應(yīng)用之一，成為強化微軟進階威脅分析技術(shù)(ATA) 的重要一環(huán)。

　　微軟進階威脅分析技術(shù)(ATA) 預(yù)警四步驟 助企業(yè)快速部署，并通過主動、嚴(yán)密、精細(xì)的演算保護身分驗證服務(wù)

　　微軟進階威脅分析技術(shù)(Advanced Threat Analysis，ATA) 是微軟新一代內(nèi)部部署平臺的資訊安全解決方案，它會自動分析、學(xué)習(xí)和識別正常及非正常的實體 (使用者、裝置和資源) 行為，進而保護企業(yè)以避免遭受進階的鎖定目標(biāo)攻擊。借由四大御敵步驟，通過機器學(xué)習(xí)及主動行為分析，預(yù)測、防范并主動通知管理者不尋常行為及可能受到的危害，可為企業(yè)帶來即時威脅偵測、快速行為分析與動態(tài)調(diào)整、減少預(yù)警誤報造成的消耗、有效聚焦出攻擊時間表等四大好處。進階威脅分析技術(shù)(ATA) 的御敵四步驟詳述如下：

　　【步驟一：分析】

　　安裝完成后，只要使用預(yù)先設(shè)定、非侵入式的連接埠鏡像，即可將與AD相關(guān)的所有流量鏡像至 ATA，同時避免攻擊者察覺。ATA 會使用深層封包偵測技術(shù)來分析所有AD流量，可以從安全性資訊和事件管理(Security Information and Event Management， SIEM)，整合其他來源并收集相關(guān)事件。

　　【步驟二：自動學(xué)習(xí)】

　　ATA 自動通過機器學(xué)習(xí)(Azure Machine Learning)  學(xué)習(xí)和剖析使用者、裝置和資源的行為，然后運用自身的自我學(xué)習(xí)技術(shù)建立組織資訊安全圖表。組織資訊安全圖表會對映到使用者、裝置和資源關(guān)聯(lián)性及活動的實體互動。

　　【步驟三：偵測】

　　在建立組織資訊安全圖表后，ATA 會開始找出實體行為中的任何異�，F(xiàn)象，并識別可疑活動。不過，這些不正�；顒右�先經(jīng)過資安管理人員進行關(guān)聯(lián)性匯整及確認(rèn)。

　　【步驟四：發(fā)報警告】

　　ATA將會通報不正常和可疑活動，并且，為了進一步提高預(yù)警準(zhǔn)確度以節(jié)省IT的時間和資源減耗，ATA會在發(fā)出警示之前比較實體行為和自身行為，及比較互動路徑中其他實體的行為，大幅降低誤判數(shù)量讓IT更能集中對付實際威脅。

　　此外，ATA更可通過機器學(xué)習(xí)，在分析和記錄使用者、裝置、資源等實體的行為后自我學(xué)習(xí)，以應(yīng)付快速演化的網(wǎng)絡(luò)攻擊；葉怡君進一步呼吁，網(wǎng)絡(luò)攻擊防御不可忽視，尤其對于公司機密若不慎外流或被不法使用，將導(dǎo)致嚴(yán)重?zé)o法挽救損失的企業(yè)客戶而言，如政府機構(gòu)、金融產(chǎn)業(yè)或科技資訊產(chǎn)業(yè)等，都應(yīng)該更加倍重視企業(yè)資訊安全的管理，借由導(dǎo)入為企業(yè)量身打造的客制化的EMS+ATA全方位解決方案，共同強化企業(yè)防護機制，更啟動積極的主動分析、預(yù)測及預(yù)警的加持防護，為企業(yè)創(chuàng)造加倍雙乘的企業(yè)資訊安全防護效益。