微软发布移动资讯安全平台 | 移动信息化那些事

随着云端服务与移动设备普及所带来的 BYOD （Bring Your Own Device） 趋势，单纯的被动防御已经无法满足企业整体的资安防护需求。为协助企业化被动防御为主动侦测与预警，台湾微软 3 日发布进阶威胁分析技术（Advanced Threat Analytics，ATA） ，透过分析、自我学习、侦测及预警四步骤，协助企业御敌于机先，同时结合 企业移动化 管理方案（Enterprise Mobility Suite，EMS） 三大防护机制，建立 移动化 世代全方位的资讯安全。

随着移动设备普遍带来“方便”，企业机密易因内忧外患而泄漏

在一个移动优先、云端至上的世界，员工自携设备到工作场所的 BYOD 趋势与移动网络普及，让员工可从不同地点、设备存取企业资料以维持生产力，而导入移动化的同时可能为企业带来资料外泄的隐忧；此外，骇客透过网络攻击与威胁的频率以及严重性也变得更加复杂且难以预防，加上台湾近年来已经从被“骇”对象转变为骇客攻击的加害跳板。根据统计，在众多网络攻击中，企业目录服务中的身份认证是最常见的攻击目标，有 76% 被入侵的网络都因为使用者的身份被骇客窃取所致；值得注意的是，当企业环境遭受骇客或有心人士的攻击，IT人员平均需要 200 天以上才能发现遭入侵的系统漏洞，国内的企业则近一年，这段时间，可能已经造成企业不可挽救的机密外泄损失；根据统计，企业因资安问题造成的平均损失接近 350 万美元（相当于新台币 1 亿 1,300 万元）。近年常发生的身份认证攻击，包括骇客藉网络攻击、窃取使用者认证以提升权限，且以合法工具 （而非恶意程序码） 做为攻击手段的案例等也更见频繁。

微软企业移动化管理方案四大防卫机制，全面防护跨移动设备平台的资讯安全

微软因应企业及 移动管理 的趋势，持续致力于强化企业资安蓝图的布局，协助企业能够跨内部部署 Active Directory Domain Services （ADDS） 与云端，以共通的身份识别整合基础架构技术环境；为此，微软研发出“企业移动化管理方案”EMS （Enterprise Mobility Suite） ，囊括混合式身份识别管理（Azure AD Premium） 、移动设备管理（Microsoft Intune） 、资讯保护（Azure Rights Management）、进阶威胁分析技术（Advanced Threat Analytics） 等四大防护管理，建立完善防卫机制，四大防护策略如下：

• 混合式身份识别管理（Azure AD Premium） ：帮助企业透过云端管理内部部署目录使用者的身份识别、基础布建和存取管理，让员工拥有适用的云端自助式密码设定，而从机器学习导向的资讯安全报告，可显示登入异常状况和其他威胁。
• 移动设备管理（Microsoft Intune） ：企业可从云端管理及盘点所有电脑和各种跨平台移动设备，员工可使用所喜爱的设备工作，同时又可确保公司资料的安全。
• 资讯保护（Azure Rights Management） ：以云端或包含现有内部部署基础架构的混合模式，透过简便易用的软件开发套件 （SDK） 将资讯保护整合到公司应用程序之中，保护公司资讯及资产。
• 进阶威胁分析技术（Microsoft Advanced Threat Analytics） ：透过内建情报以识别可疑的使用者和设备活动运用深层封包侦测技术以及其他资料来源所提供的资讯建立组织资讯安全图表，并以近乎即时的方式侦测进阶攻击。

“对 IT 或企业来说，考量到的不只是跨平台间的系统整合与部署，更需要的是 移动安全 防护与安全威胁预警的机制；EMS 多元的解决方案结合市场趋势和技术实力，是企业迈入移动与云端优先世界的全方位资讯安全解决方案。” 台湾微软云端与企业平台事业部副总经理叶怡君特别强调：“移动网络与设备的普及带来的移动资安挑战变化快速，仅有被动防护仍有不足，EMS 解决方案中的进阶威胁分析技术（ATA） 可把企业资安系统从被动防护提升到主动分析、预测及预警的强化防护，让 EMS 四大防护机制更加强化，进而守护企业因应移动化世代的资讯安全。”

 

透过微软机器学习增强 ATA 的判断与侦测能力，10 倍加速资安威胁通报的时间

因应大数据的新时代，微软机器学习（Machine Learning，ML） 成为企业资安防护机制中能够学习并侦测的重要推手；机器学习应用主要结合于 EMS 四大防护机制的进阶威胁分析技术（ATA），藉由最短 21 天的主动学习，记录使用者行为、使用设备与资源存取轨迹，并据此侦测是否有任何异常状况、预测可能的资安威胁发生，主动通报预警，让 ATA 能发掘出以往需要平均 200 天以上才能被发现的潜藏资安攻击，缩短发现使用者异常行为的时间，大幅降低企业因资安危机所带来的损失。

微软自 1994 年开始推出机器学习（Machine Learning）服务的雏型后，持续在机器学习领域发展，藉由结合 Microsoft Azure 云端运算、大数据即时分析，持续地接受资料学习正确判断、筛选内容，甚至从中找出实用资料并进一步预测，至今已广泛运用于各项产业，“企业资安防护”更是其中重要的应用之一，成为强化微软进阶威胁分析技术（ATA） 的重要一环。

 

微软进阶威胁分析技术（ATA） 预警四步骤，助企业快速部署

微软进阶威胁分析技术（Advanced Threat Analysis，ATA） 是微软新一代内部部署平台的资安解决方案，它会自动分析、学习和识别正常及非正常的实体 （使用者、设备和资源） 行为，进而保护企业以避免遭受进阶的锁定目标攻击。藉由四大御敌步骤，透过机器学习及主动行为分析，预测、防范并主动通知管理者不寻常行为及可能受到的危害，可为企业带来即时威胁侦测、快速行为分析与动态调整、减少预警误报造成的消耗、有效聚焦出攻击时间表等四大好处。进阶威胁分析技术（ATA） 的御敌四步骤详述如下：

步骤一：分析
安装完成后，只要使用预先设定、非侵入式的连接埠镜像，即可将与 AD 相关的所有流量镜像至 ATA，同时避免攻击者察觉。ATA 会使用深层封包侦测技术来分析所有 AD 流量，可以从安全性资讯和事件管理（Security Information and Event Management, SIEM），整合其他来源并收集相关事件。

步骤二：自动学习
ATA 自动透过机器学习（Machine Learning） 学习和剖析使用者、设备和资源的行为，然后运用自身的自我学习技术建立组织资讯安全图表。组织资讯安全图表会对映到使用者、设备和资源关联性及活动的实体互动。

步骤三：侦测
在建立组织资讯安全图表后，ATA 会开始找出实体行为中的任何异常现象，并识别可疑活动。不过，这些不正常活动要先经过资安管理人员进行关联性汇整及确认。

步骤四：发报警告
ATA 将会通报不正常和可疑活动，并且，为了进一步提高预警准确度以节省 IT 的时间和资源减耗，ATA 会在发出警示之前比较实体行为和自身行为，及比较互动路径中其他实体的行为，大幅降低误判数量让 IT 更能集中对付实际威胁。

此外，ATA 更可透过机器学习，在分析和记录使用者、设备、资源等实体的行为后自我学习，以应付快速演化的网络攻击；叶怡君进一步呼吁，网络攻击防御不可忽视，尤其对于公司机密若不慎外流或被不法使用，将导致严重无法挽救损失的企业客户而言，如政府机构、金融产业或科技资讯产业等，都应该更加倍重视企业资安的管理，藉由导入为企业量身打造的客制化的 EMS+ATA 全方位解决方案，共同强化企业防护机制，更启动积极的主动分析、预测及预警的加持防护，为企业创造加倍双乘的企业资安防护效益。

标签: 移动安全 , 移动管理