以牟利為主要目的的駭客活動,往往低調隱匿難以被既有資安防禦機制發現,導致機敏資料往往被竊取得逞後,企業才從警政單位、受害者等外部通報得知。
為了及時攔阻駭客活動,微軟日前發布全新的資安產品:進階威脅分析(Advanced Threat Analytics,ATA),以去年(2014)11月收購新創公司Aorato的技術為基礎,部署於內部網路進行深度封包檢測(Deep Packet Inspection,DPI)。並運用機器學習(Machine Learning)演算法,建立正常網路行為比對模型,藉此分析及早發現潛伏的滲透活動。
台灣微軟雲端與企業平台事業部產品行銷經理簡志偉觀察,現行的資安方案大多面臨複雜度過高的問題,例如統一收集納管來自各式裝置的資訊,不僅過於繁雜,也難以建立邏輯化,因而影響後續分析的準確性。一旦在驗證階段缺乏有效地偵測與分析,接下來的授權與稽核自然無法確實。
 |
| ▲台灣微軟雲端與企業平台事業部副總經理葉怡君指出,現今的資安風險大多是來自偽裝為合法使用者,登入系統執行資料竊取的違法行為,已無法僅用訂定規則來發現,而是要從操作者行為分析著手。 |
微軟ATA方案,可協助從一開始的驗證著手偵測異常行為。ATA內建的資安風險偵測模型,包含內建已知的攻擊模式資料庫,以及機器學習演算法,經過21天分析正常使用者帳號、所屬設備、操作行為,成為比對基礎。一旦發現例如Pass-the-Hash、Pass-the-Ticket等常見的攻擊手法,經過分析後的資訊,亦可指出該起資安事件使用的Hash值所屬帳號,利用其登入的電腦與存取的資源。
簡志偉進一步說明,由於多數企業IT環境採用AD(Active Directory)網域服務,使用者執行任何存取行為皆必須透過AD驗證,如今結合ATA偵測驗證與授權,一旦發生問題,平均15分鐘即可指出相關的帳號,有助於釐清資安事件。同時,ATA亦可針對異常行為提供建議作法,協助IT人員進行問題排除。
ATA部署架構為ATA Gateway與ATA Center所組成。由於ATA Gateway是透過連接埠鏡像(Port Mirroring)方式監聽所有網域控制站(Domain Controller)的封包,不需要在任何裝置上安裝代理程式,亦不致影響現行架構與工作流程,同時還可藉此一併將行動裝置也納入控管範疇。
就現有的IT基礎架構來看,行動裝置大多不會登入到內部網域,在未安裝任何控管App的情況下,也不會主動提供Log,而ATA的部署架構則可解決此問題,讓行動裝置也得以被監看。經由ATA Gateway收集封包,再統一交由ATA Center進行機器學習與使用者行為分析,IT人員透過網頁介面即可查看事件告警及其分析資訊。