CTI論壇(ctiforum)9月8日消息（記者 李文杰): 隨著云端服務與移動裝置普及所帶來的BYOD (Bring Your Own Device) 趨勢，單純的被動防御已經無法滿足企業(yè)整體的資訊安全防護需求。為協(xié)助企業(yè)化被動防御為主動偵測與預警，臺灣微軟今(三) 日發(fā)布進階威脅分析技術(Advanced Threat Analytics，ATA)，通過分析、自我學習、偵測及預警四步驟，協(xié)助企業(yè)御敵于機先，同時結合企業(yè)移動化管理方案(Enterprise Mobility Suite， EMS) 三大防護機制，建立移動化世代全方位的資訊安全。

　　隨著移動裝置普遍帶來「方便」，企業(yè)機密易因內憂外患而泄漏，導致不可挽救的慘痛損失

　　在一個行移動優(yōu)先、云端至上的世界，員工自攜裝置到工作場所的 BYOD趨勢與移動網絡普及，讓員工可從不同地點、裝置存取企業(yè)資料以維持生產力，而導入移動化的同時可能為企業(yè)帶來資料外泄的隱憂；此外，駭客通過網絡攻擊與威脅的頻率以及嚴重性也變得更加復雜且難以預防，加上臺灣近年來已經從被「駭」對象轉變?yōu)轳斂凸�擊的加害跳板。根據統(tǒng)計，在眾多網絡攻擊中，企業(yè)目錄服務中的身分認證是最常見的攻擊目標，有76%被入侵的網絡都因為使用者的身分被駭客竊取所致；值得注意的是，當企業(yè)環(huán)境遭受駭客或有心人士的攻擊，IT人員平均需要200天以上才能發(fā)現遭入侵的系統(tǒng)漏洞，國內的企業(yè)則近一年，這段時間，可能已經造成企業(yè)不可挽救的機密外泄損失；根據統(tǒng)計，企業(yè)因資安問題造成的平均損失接近350萬美元(相當于新臺幣1億1千300萬元)。近年常發(fā)生的身分認證攻擊，包括駭客借網絡攻擊、竊取使用者認證以提升權限，且以合法工具 (而非惡意程式碼) 做為攻擊手段的案例等也更見頻繁。

　　微軟企業(yè)移動化管理方案(EMS) 四大防衛(wèi)機制  全面防護跨移動裝置平臺的資訊安全

　　微軟因應企業(yè)及移動管理的趨勢，持續(xù)致力于強化企業(yè)資安藍圖的布局，協(xié)助企業(yè)能夠跨內部部署 Active Directory Domain Services (AD DS) 與云端，以共通的身分識別整合基礎架構技術環(huán)境；為此，微軟研發(fā)出「企業(yè)移動化管理方案」EMS (Enterprise Mobility Suite) ，囊括混合式身分識別管理(Azure AD Premium) 、移動裝置管理(Microsoft Intune) 、資訊保護(Azure Rights Management)、進階威脅分析技術(Advanced Threat Analytics)等四大防護管理，建立完善防衛(wèi)機制，四大防護策略如下：

　　混合式身分識別管理(Azure AD Premium) ：幫助企業(yè)通過云端管理內部部署目錄使用者的身份識別、基礎布建和存取管理，讓員工擁有適用的云端自助式密碼設定，而從機器學習導向的資訊安全報告，可顯示登入異常狀況和其他威脅。

　　移動裝置管理(Microsoft Intune) ：企業(yè)可從云端管理及盤點所有電腦和各種跨平臺移動裝置，員工可使用所喜愛的裝置工作，同時又可確保公司資料的安全。

　　資訊保護(Azure Rights Management) ：以云端或包含現有內部部署基礎架構的混合模式，透過簡便易用的軟件開發(fā)套件 (SDK) 將資訊保護整合到公司應用程式之中，保護公司資訊及資產。

　　進階威脅分析技術(Microsoft Advanced Threat Analytics) ：通過內建情報以識別可疑的使用者和裝置活動運用深層封包偵測技術以及其他資料來源所提供的資訊建立組織資訊安全圖表，并以近乎即時的方式偵測進階攻擊。

　　「對IT或企業(yè)來說，考量到的不只是跨平臺間的系統(tǒng)整合與部署，更需要的是移動安全防護與安全威脅預警的機制；EMS多元的解決方案結合市場趨勢和技術實力，是企業(yè)邁入移動與云端優(yōu)先世界的全方位資訊安全解決方案。」 臺灣微軟云端與企業(yè)平臺事業(yè)部副總經理葉怡君特別強調：「移動網絡與裝置的普及帶來的移動資訊安全挑戰(zhàn)變化快速，僅有被動防護仍有不足，EMS解決方案中的進階威脅分析技術(ATA) 可把企業(yè)資訊安全系統(tǒng)從被動防護提升到主動分析、預測及預警的強化防護，讓EMS四大防護機制更加強化，進而守護企業(yè)因應移動化世代的資訊安全。」

　　通過微軟機器學習增強ATA的判斷與偵測能力  10倍加速資安威脅通報的時間

　　因應大數據的新時代，微軟機器學習(Azure Machine Learning，ML) 成為企業(yè)資訊安全防護機制中能夠學習并偵測的重要推手；機器學習應用主要結合于EMS四大防護機制的進階威脅分析技術(ATA)，借由最短21天的主動學習，記錄使用者行為、使用裝置與資源存取軌跡，并據此偵測是否有任何異常狀況、預測可能的資訊安全威脅發(fā)生，主動通報預警，讓ATA能發(fā)掘出以往需要平均200天以上才能被發(fā)現的潛藏資安攻擊，縮短發(fā)現使用者異常行為的時間，大幅降低企業(yè)因資安危機所帶來的損失。

　　微軟自1994年開始推出機器學習(Machine Learning)服務的雛型后，持續(xù)在機器學習領域發(fā)展，借由結合Microsoft Azure云端運算、大數據即時分析，持續(xù)地接受資料學習正確判斷、篩選內容，甚至從中找出實用資料并進一步預測，至今已廣泛運用于各項產業(yè)，「企業(yè)資訊安全防護」更是其中重要的應用之一，成為強化微軟進階威脅分析技術(ATA) 的重要一環(huán)。

　　微軟進階威脅分析技術(ATA) 預警四步驟 助企業(yè)快速部署，并通過主動、嚴密、精細的演算保護身分驗證服務

　　微軟進階威脅分析技術(Advanced Threat Analysis，ATA) 是微軟新一代內部部署平臺的資訊安全解決方案，它會自動分析、學習和識別正常及非正常的實體 (使用者、裝置和資源) 行為，進而保護企業(yè)以避免遭受進階的鎖定目標攻擊。借由四大御敵步驟，通過機器學習及主動行為分析，預測、防范并主動通知管理者不尋常行為及可能受到的危害，可為企業(yè)帶來即時威脅偵測、快速行為分析與動態(tài)調整、減少預警誤報造成的消耗、有效聚焦出攻擊時間表等四大好處。進階威脅分析技術(ATA) 的御敵四步驟詳述如下：

　　【步驟一：分析】

　　安裝完成后，只要使用預先設定、非侵入式的連接埠鏡像，即可將與AD相關的所有流量鏡像至 ATA，同時避免攻擊者察覺。ATA 會使用深層封包偵測技術來分析所有AD流量，可以從安全性資訊和事件管理(Security Information and Event Management， SIEM)，整合其他來源并收集相關事件。

　　【步驟二：自動學習】

　　ATA 自動通過機器學習(Azure Machine Learning)  學習和剖析使用者、裝置和資源的行為，然后運用自身的自我學習技術建立組織資訊安全圖表。組織資訊安全圖表會對映到使用者、裝置和資源關聯性及活動的實體互動。

　　【步驟三：偵測】

　　在建立組織資訊安全圖表后，ATA 會開始找出實體行為中的任何異�，F象，并識別可疑活動。不過，這些不正�；顒右�先經過資安管理人員進行關聯性匯整及確認。

　　【步驟四：發(fā)報警告】

　　ATA將會通報不正常和可疑活動，并且，為了進一步提高預警準確度以節(jié)省IT的時間和資源減耗，ATA會在發(fā)出警示之前比較實體行為和自身行為，及比較互動路徑中其他實體的行為，大幅降低誤判數量讓IT更能集中對付實際威脅。

　　此外，ATA更可通過機器學習，在分析和記錄使用者、裝置、資源等實體的行為后自我學習，以應付快速演化的網絡攻擊；葉怡君進一步呼吁，網絡攻擊防御不可忽視，尤其對于公司機密若不慎外流或被不法使用，將導致嚴重無法挽救損失的企業(yè)客戶而言，如政府機構、金融產業(yè)或科技資訊產業(yè)等，都應該更加倍重視企業(yè)資訊安全的管理，借由導入為企業(yè)量身打造的客制化的EMS+ATA全方位解決方案，共同強化企業(yè)防護機制，更啟動積極的主動分析、預測及預警的加持防護，為企業(yè)創(chuàng)造加倍雙乘的企業(yè)資訊安全防護效益。