微軟今年5月揭露了新一代進階威脅分析產品ATA(Advanced Threat Analytics)近日在臺上市。ATA結合了機器學習技術,經由自動分析、自我學習、及時偵測及預警四個步驟來判別出異常的使用者行為。不過,目前只在臺推出英文版,微軟沒有透露,中文版本推出時程。
微軟在去年11月時併購的Aorato新創公司,將其過去的使用者行為分析來判斷APT攻擊的技術,發展成了微軟ATA產品,在今年5月首度發布預覽版本,直到9月正式在臺上市。
微軟表示,ATA是一套整合Azure AD模式的安全性監控和偵測內網異常的產品,可蒐集並分析所有來自Active Directory以及SIEM的紀錄資料,再利用機器學習技術自主學習每一位使用者的行為模式,微軟技術中心技術顧問張傳忠表示,ATA可以根據不同使用者,看出異常的使用者行為,像是過去通常在哪裡、什麼時間點登入系統,由於每一個員工的使用行為不盡相同,透過機器學習技術才能找出不同類型使用者各自的使用行為模式。
張傳忠也表示,ATA用來判斷惡意行為的依據來自兩個來源,一項是可以在公開網路上找到的各種攻擊行為模式,另一項則是透過機器學習技術分析並記錄起來的使用者行為。ATA軟體綜整上述兩類資訊後,來辨別使用者的行為模式和過去的差異,或是判斷是否出現了有潛在風險的特殊行為,並提供對應的處理因應方式,供IT管理人員參考。
他說,透過傳統BI技術,只能發現企業資料遭竊,來診斷資料遭竊的原因,不過現在,結合機器學習,ATA可以進一步在歷史資料中,從大量竊取紀錄中找到模式和關聯性,來進行預測性分析,甚至未來能進行預先防範的參考。
透過閘道器複製內網流量分析可疑行為
ATA架構上,主要包含ATA Gateway設備以及ATA Center主機,ATA Gateway透過鏡像技術(Mirroring )將企業內網AD相關的的網路流量複製到ATA Center主機上來偵測,也可以蒐集來自企業內部的資安事件管理平臺SIEM提供的Log事件資料。
ATA提供了視覺化報表,包含入侵來源、事件分析,並提出建議的解決方案。例如可依時間表來呈現出一個惡意使用者隨不同時間所採取的可疑行為,供IT人員追蹤攻擊過程。
微軟表示,不同於SIEM或是其他行為偵測產品,多以Log分析、樣本資料庫比對為主,而ATA主要分析的是使用者行為,整合即時偵測攻擊的資料,並從實際流量、軌跡以及目錄服務的相關資訊,來偵測可疑行為和內網漏洞。另一項特點是,ATA利用了深度封包檢查(DPI)技術來分析 AD相關網路行為資訊,可以不需建立規則、策略或是額外在桌面和伺服器安裝代理程式。臺灣微軟雲端與企業平臺事業部產品行銷經理簡志偉表示,ATA伺服器及ATA閘道器可部署於實體主機或虛擬機器上,一套伺服器可處理約3千個使用者的規模,企業可根據需求部署更多伺服器及閘道器。
ATA除了單獨銷售外,也是微軟企業行動化管理方案(EMS)旗下的產品。EMS方案中包含四項功能,除了ATA之外,還有行動裝置管理(Microsoft Intune),行動裝置上的身分識別管理(Azure AD Premium),以及將行動裝置上的檔案加密來進行資訊保護(Azure Rights Management)。
目前EMS所管理的項目除了基本的密碼鎖定、應用程式部署派送、企業應用程式集、裝置清查報告、刷機、破解偵測或是做憑證的派送等等,也包含了禁止將企業應用程式資料傳入私人的應用程式,或是備份到私人的雲端空間,此外,也提供多因素認證,包括登入帳號密碼、手機驗證及簡訊確認,並提供安全性稽核報告。
其中,搭配MAM機制,可限制使用者收到電子郵件後,只允許特定應用程式,像是在雲端Office中進行複製、貼上,並儲存到企業版OneDrive,但禁止使用者在私人應用程式中貼上資料或是轉儲存到私人雲端空間。若員工遺失裝置時,可以選擇從遠端抹除受到公司管理的應用程式資料,透過公司入口網站或是管理員的主控臺來進行選擇性的資料抹除,保留個人的應用程式資料。