針對內部威脅的異常偵測,微軟延伸既有內部部署的ATA技術所設計的Azure進階威脅防護(ATP)雲端服務,日前已正式上線,適用於現代企業普遍存在的混合雲應用環境。
台灣微軟資深產品行銷協理林敬傑說明,從技術層面來看,Azure ATP與ATA差異不大,主要是部署位置的不同,同樣支援Kerberos、NTLM、LDAP、DNS等通訊協定的傳輸流量,經過深度封包解析後,進行驗證、授權、資訊蒐集,彙整到微軟自家的SIEM平台以運行機器學習分析大數據,最後在微軟智慧資安圖表(Microsoft Intelligent Security Graph)上呈現。
「企業或組織廣泛採用的Office 365,正適用Azure ATP雲端服務鞏固應用安全性。」林敬傑強調。儘管Office 365的應用模式位於雲端,但多數內部應用環境仍舊維持既有的Active Directory(AD)網域服務,啟用雲端服務之後,帳密必須同步到Azure AD,皆必須有相對應的保護措施。
豐富資料來源輔助建立判斷精準度
外部攻擊可滲透的管道不外乎郵件、端點、對外提供服務的應用系統,欲對抗多向量式攻擊,往往需整合多種不同技術領域的解決方案,來建立全面性防禦,IT管理者通常得學習操作不同操作介面的管理工具,才得以發揮效益。「如今微軟全數皆可涵蓋,在Azure ATP中已內建Windows Defender ATP,從底層系統到應用軟體皆為微軟的技術,更能掌握安全性問題,進而建立保護措施。」林敬傑說。
就狙殺鏈活動階段來看,當攻擊者順利感染內部電腦後,開始逐步進行內部偵查、橫向移動、利用網域管理者權限探查數位資產等行為,對此若經由Azure ATP蒐集資料來源、分析與學習、偵測、告警與調查,可及早發現惡意活動、異常行為,抑或是高風險的問題。
 |
| ▲ 微軟整合旗下Azure ATP、Windows Defender ATP、Office 365 ATP等服務,建構內部威脅防禦。 |
蒐集足夠的資料,並且建立關聯性,可說是資料分析的首要步驟。林敬傑觀察,至今仍有許多企業對於將資料遞送到雲平台有所疑慮,實際上,Azure ATP只需要取得檔案的Metadata即足夠,不需要完整的檔案,基於雲端平台強大的實體資源進行彙整,透過機器學習演算分析應用情境行為模式,之後再透過內部流程,以解析後的資料模型為基礎,實際運行操作流程,來偵查出異常之處。
「微軟的優勢之一,在於全球約九成的電腦採用Windows作業系統,因此微軟智慧資安圖表已掌握相當豐富的威脅情資,只是過去較少對外說明。其實我們早就已經開始基於自家撰寫的演算法,進行威脅情資的資料探勘(Data Mining),產生的結果再餵入人工智慧平台,藉此來訓練機器學習資料模型建立偵測異常行為的精準度。」
此外,經過機器學習資料模型解析後判斷的數據,會同時發布到各個不同解決方案,例如Windows Defender ATP、ATA、Office 365 ATP等輔助偵測或執行回應。
整合端點進階威脅防護辨識TTP
 |
| ▲台灣微軟資深產品行銷協理林敬傑指出,最新發布的微軟智慧資安圖表已開放API,協同合作夥伴之力,彼此交換擁有的情資,藉此更接近即時地掌握攻擊者所採用的手法、技術與發動流程。 |
Azure ATP主要偏重於IT環境中的郵件、終端電腦、身分驗證(Identity)防護,其中尤以來自郵件的惡意程式最難偵測,林敬傑說明,近年來常見的手法是在郵件附加檔案中夾帶PowerShell指令,誘使收件者點選開啟後隨即植入惡意程式碼,進而竊取電腦帳密。
「訂閱Azure ATP服務分析異常行為,可及時偵測發現端點遭滲透的事件。主要即是Azure ATP可分析所有連線的行為,比對智慧資安圖表蒐集的情資,例如訂閱Office 365雲端服務的用戶,可藉由Azure ATP分析比對國際間相同產業的威脅趨勢,主動通知端點的Windows Defender ATP,建立辨識攻擊者慣用的工具、技術與程序(TTP)。」
就整體架構來看,Azure ATP雲端服務是在網域服務系統中安裝輕量化感知程式,來執行系統產生的事件檔蒐集;或是在閘道端建置獨立的感知伺服器,可透過連接埠複製傳輸流量,基於深度封包解析技術取得網路層的連線行為。
Azure ATP獨立感知伺服器可安裝在執行Windows Server 2012 R2或2016系統環境,在防火牆或Proxy服務中針對「*.atp.azure.com」設定開啟443連接埠,即可運行蒐集。Azure ATP將根據行為機器學習演算法來指出異常,以及運用決定性演算法(Deterministic Algorithm)來解析狙殺鏈活動行徑,讓IT管理者登入工作區入口網站檢視分析數據。
及時調查異常活動以免特權帳號遭竊
針對內部可疑活動資訊,在Azure ATP工作區入口網站上,會依照時間順序列出相關內容,包含實體主機、使用者帳號、發生的時間,以及嚴重性的等級。低度嚴重性的定義是該行為使得機敏資料遭竊取的風險增高;中度嚴重性則表示身分被盜用或提升為特殊權限的風險增高;高度嚴重性則是該活動行為建議優先調查,以免造成資安事故。
由於攻擊者在滲透入侵電腦系統後,通常會把已取得的使用者帳號新增到高權限群組,便能基於合法存取行為探查高經濟價值的核心系統資源。因此應針對高敏感性(例如董事會成員、財務長等營運核心管理者)群組或帳號進行監看,一旦發生異動狀況,需進一步調查釐清究竟是惡意活動或誤判。
即便如此,終端電腦仍無法百分之百免於遭受滲透入侵,攻擊者仍可能在內部網路嘗試橫向移動,竊取高敏感性的帳號。IT管理者可利用Azure ATP工作區入口網站提供的橫向移動路徑功能查看異常活動,檢視以特殊權限帳號為起點呈現的行為路徑地圖,從中了解暴露程度。
林敬傑補充,類似機制在ATA即將推出的1.9版同樣具備,做法是增加手動標記高敏感性的帳號或群組,之後運行使用行為分析,在登入網域後存取機敏資料時,針對該分類的行為不須發出告警通知,可能財務長一年只有存取一次機敏檔案,對ATA分析機制而言會被判定為異常行為,藉此可降低誤告警的狀況發生。