Symantec Endpoint Encryption Digital Rights Management Advanced Threat Analytics Virtual Disk Protection Data Loss Prevention Endpoint Security Symantec DLP 14 Microsoft TrustView Symantec 虛擬磁區防護 進階威脅分析 優碩資訊 資料外洩 DRM DLP NEC VDP ATA NCS

機器學習使用者行為 識破資料竊取活動

2015-10-05
以牟利為主要目的的駭客活動,往往低調隱匿難以被既有資安防禦機制發現,導致機敏資料往往被竊取得逞後,企業才從警政單位、受害者等外部通報得知。
為了及時攔阻駭客活動,微軟日前發布全新的資安產品:進階威脅分析(Advanced Threat Analytics,ATA),以去年(2014)11月收購新創公司Aorato的技術為基礎,部署於內部網路進行深度封包檢測(Deep Packet Inspection,DPI)。並運用機器學習(Machine Learning)演算法,建立正常網路行為比對模型,藉此分析及早發現潛伏的滲透活動。

台灣微軟雲端與企業平台事業部產品行銷經理簡志偉觀察,現行的資安方案大多面臨複雜度過高的問題,例如統一收集納管來自各式裝置的資訊,不僅過於繁雜,也難以建立邏輯化,因而影響後續分析的準確性。一旦在驗證階段缺乏有效地偵測與分析,接下來的授權與稽核自然無法確實。

▲台灣微軟雲端與企業平台事業部副總經理葉怡君指出,現今的資安風險大多是來自偽裝為合法使用者,登入系統執行資料竊取的違法行為,已無法僅用訂定規則來發現,而是要從操作者行為分析著手。
微軟ATA方案,可協助從一開始的驗證著手偵測異常行為。ATA內建的資安風險偵測模型,包含內建已知的攻擊模式資料庫,以及機器學習演算法,經過21天分析正常使用者帳號、所屬設備、操作行為,成為比對基礎。一旦發現例如Pass-the-Hash、Pass-the-Ticket等常見的攻擊手法,經過分析後的資訊,亦可指出該起資安事件使用的Hash值所屬帳號,利用其登入的電腦與存取的資源。

簡志偉進一步說明,由於多數企業IT環境採用AD(Active Directory)網域服務,使用者執行任何存取行為皆必須透過AD驗證,如今結合ATA偵測驗證與授權,一旦發生問題,平均15分鐘即可指出相關的帳號,有助於釐清資安事件。同時,ATA亦可針對異常行為提供建議作法,協助IT人員進行問題排除。

ATA部署架構為ATA Gateway與ATA Center所組成。由於ATA Gateway是透過連接埠鏡像(Port Mirroring)方式監聽所有網域控制站(Domain Controller)的封包,不需要在任何裝置上安裝代理程式,亦不致影響現行架構與工作流程,同時還可藉此一併將行動裝置也納入控管範疇。

就現有的IT基礎架構來看,行動裝置大多不會登入到內部網域,在未安裝任何控管App的情況下,也不會主動提供Log,而ATA的部署架構則可解決此問題,讓行動裝置也得以被監看。經由ATA Gateway收集封包,再統一交由ATA Center進行機器學習與使用者行為分析,IT人員透過網頁介面即可查看事件告警及其分析資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!