駭客攻擊手法日新月異,幾乎所有企業的網路或系統都不免遭到入侵,如何及時偵測到並採取因應措施、控制事件嚴重性也愈來愈關鍵。微軟發表Windows Defender 進階威脅防護服務(Windows Defender Advanced Threat Protection ),利用機器學習技術協助威脅突破防線後的偵測,進而提升Windows 10企業用戶的網路安全。
為強化Windows 10的安全性,微軟已陸續為這個作業系統加入多項安全功能,包括密碼保護工具Credential Guard、裝置安全機制Device Guard、生物辨識技術Windows Hello及資料加密產品Enterprise Data Protection等,Windows本身則還有免費防毒、反惡意程式軟體Windows Defender。而Windows Defender進階威脅防護則是在這些基礎之上再發展出的企業安全服務。
微軟Windows與裝置事業群執行副總裁Terry Myerson指出,Windows Defender進階威脅防護提供的是攻擊突破企業網路後的防禦陣線,它整合Windows 10現有內建的用戶端技術、雲端分析服務及安全研究團隊,提供攻擊事件相關資訊,包括攻擊者、攻擊目標與發生原因,並提供應變的建議。其底層技術包括Windows行為感測器、微軟的機器學習分析及「智慧安全圖譜」(Security Graph)。
微軟表示,「智慧安全圖譜」蒐集了全球10億台Windows裝置、2.5兆條URL及6億次線上信譽查詢及超過100萬個可疑檔案,Windows Defender進階威脅防護即運用此一安全資料庫,比對並分析企業網路內的可疑活動。配合微軟安全研究中心的分析,如果發現到可能的攻擊,就會通知IT管理員。
在經過IT人員判斷的確是攻擊行為後,這項安全服務還能提供協助整個網路、或是針對特定裝置近六個月的機器狀態與活動紀錄,以協助研判攻擊活動,並提供企業應變建議以及日後的深入調查。企業還可以將檔案或URL上傳到雲端的隔離VM中以進行深入調查,未來微軟還將提供矯正工具以修復受影響的Windows 10終端。
這項防護服務僅針對Windows 10裝置,結合由雲端後台持續更新服務。此外還可補強微軟其他服務,包括Office 365進階威脅防護(Office 365 Advanced Threat Protection)及微軟進階威脅分析(Microsoft Advanced Threat Analytics)的郵件防護。
Windows Defender 進階威脅防護服務已透過早期測試,在微軟自己及全球各地企業客戶共5萬台裝置上部署。微軟表示很快將擴大測試範圍,不過並未說明確切時間。
無獨有偶, IBM也在日前宣佈收購資安回應業者Resilient Systems,以強化企業資安產品。