多維度機器學習演算　解析判斷行為意圖

就現階段來看，勢必得藉由整合異質的技術平台建立可視性，例如納入SSL傳輸解密機制，才有能力解析網路封包；或是在連線封包到達端點時，可及時發現異常執行程式。因此，Palo Alto Networks提出以整體性的應用框架，讓各自獨立的機制透過整合運行，在資安事件爆發前阻止災害發生。

持續強化豐富資料來源

在全球間接連爆發重大資安事故後，Palo Alto Networks台灣區技術顧問藍博彥觀察，多數企業也理解欲調整因應策略，當下必須先蒐集較以往更廣泛的資料來輔助分析，甚至可自動依據時間軸，查看存取行為的全貌。問題是，更廣泛地蒐集資料，勢必需要擴充儲存空間，畢竟除了IT基礎架構產生的日誌檔案，還包含所有外部營運銷售據點回傳、公有雲平台上的記錄，資料量之龐大，恐遠超預估。另一方面則是定義關聯式分析的規則，變得相當難以維護。

▲Magnifier透過Pre-Compute超過千種的演算法，主動建立描述使用者過去的行為、相同部門的其他人行為、慣於採用的實體裝置類型，進而比對分析現階段的資料，從中偵測異常。（資料來源：Palo Alto Networks）

對於資源充足的大型企業而言，儲存空間與資料分析的挑戰，可能只要投入預算與人力即可解決，關鍵在於大數據分析必須足夠即時，產出的數據才能有效地成為控制風險的決策依據，因此仰賴人力操作已緩不濟急，必須運用自動化機制來執行，以達到應有的效益。

「以現代化雲端應用模式來建置資料的蒐集與分析最為合適。」藍博彥強調。資料蒐集的廣度關乎分析的有效性，須包含網路、端點、雲端服務產生的所有資料，借助雲端平台彈性擴充儲存與運算資源的能力，可降低落實的複雜度，正是Palo Alto Networks日前推出以雲端為基礎的Magnifier行為分析應用服務的主因。

Magnifier雲端服務是基於去年（2017）收購取得LightCyber所建置。Alfred Lee說明，其實Palo Alto Networks旗下擁有網路、端點、雲端防護技術，原本就可蒐集來自不同應用場景所產生的記錄，但是仍舊持續不斷地強化，例如日前才剛收購以色列公司Secdo，藉此取得EDR（端點偵測回應）技術，用以強化Traps進階式端點防護方案的資料蒐集與可視化能力。

「畢竟Traps屬於防護類型的解決方案，與EDR技術不同。Traps的核心任務是防範零時差攻擊，EDR則是偏重於監看與蒐集端點環境中的所有行為軌跡，兩者來自不同思維下所研發的技術，但近兩年市場正在逐漸整合，我們的方向是蒐集更多資料來源，除了端點，同時必須具備統整網路層、雲端服務應用行為資料的能力。」Alfred Lee說。

如今提供的Magnifier雲端服務，即可取得更加豐富的資料來源，餵入大數據平台運行分析，同時要具備一定品質，避免「垃圾進、垃圾出」現象發生，才能夠訓練出精準的判斷模型。

監督與非監督式混用 增進行為辨識力

▲Palo Alto Networks產品管理副總裁Alfred Lee觀察，如今的企業高層已普遍意識到攻擊威脅可能釀成機敏資料外洩等事件，對於IT管理者而言可說是推動強化資安體質的機會，讓存取行為可透過一致性的資安政策降低風險。

「Magnifier內建的偵測技術稱為Pre-Compute，也就是運用超過一千種的機器學習演算法，主動建立描述（Profile）使用者過去時間的操作行為、相同部門的其他人行為、慣於採用的實體裝置類型等，成為基準線，進而比對分析現階段的資料，凸顯出異常狀況。」藍博彥說。 以往資料分析的概念是透過自行撰寫規則來執行，不僅需要有懂得領域知識與IT技術的專業人力，亦須隨著使用者職位、工作流程等變化調整定義與調校分析規則，否則會有過多的誤告警干擾IT管理者判斷。如今的攻擊威脅手法多變化，靜態規則式分析根本難以與時俱進，必須由自動化機制協助，才得以有效率、精準地達到效果。而機器學習演算法正是主流的實作技術，藉由監督式與非監督式運算，分析解讀資料中多種行為維度的意圖。

Alfred Lee補充，其實監督式較簡單，根據預先定義的標籤來演算行為模式，不需要訓練資料模型即可建立正常操作行為的基準線。至於非監督式自主學習的模式，較多實作於複雜應用環境與行為比對，兩種類型混合運行可降低盲點，提升威脅行為辨識能力。

資安或IT管理者可透過Magnifier提供的網頁介面儀表板，查看異常使用者帳號與電腦，在圖形化介面中點選即可查看更多相關資訊，包含作業系統類型、存取的網路服務，以及Pathfinder執行掃描的時間點與掌握的資料。藉由Magnifier自動化分析技術，以圖形化介面呈現相關資訊，即可大幅提升事件調查效率。