User and Entity Behavior Analytics Intelligent Security Graph Advanced Threat Analytics Dynamic Data Protection Windows Defender ATP Palo Alto Networks Office 365 ATP Forcepoint Microsoft ObserveIT Magnifier Azure ATP 漢領國際 UEBA UBA

強化特權帳號行為分析 明辨誤判或惡意行徑

2018-06-21
針對內部威脅的異常偵測,微軟延伸既有內部部署的ATA技術所設計的Azure進階威脅防護(ATP)雲端服務,日前已正式上線,適用於現代企業普遍存在的混合雲應用環境。
台灣微軟資深產品行銷協理林敬傑說明,從技術層面來看,Azure ATP與ATA差異不大,主要是部署位置的不同,同樣支援Kerberos、NTLM、LDAP、DNS等通訊協定的傳輸流量,經過深度封包解析後,進行驗證、授權、資訊蒐集,彙整到微軟自家的SIEM平台以運行機器學習分析大數據,最後在微軟智慧資安圖表(Microsoft Intelligent Security Graph)上呈現。 「企業或組織廣泛採用的Office 365,正適用Azure ATP雲端服務鞏固應用安全性。」林敬傑強調。儘管Office 365的應用模式位於雲端,但多數內部應用環境仍舊維持既有的Active Directory(AD)網域服務,啟用雲端服務之後,帳密必須同步到Azure AD,皆必須有相對應的保護措施。

豐富資料來源輔助建立判斷精準度

外部攻擊可滲透的管道不外乎郵件、端點、對外提供服務的應用系統,欲對抗多向量式攻擊,往往需整合多種不同技術領域的解決方案,來建立全面性防禦,IT管理者通常得學習操作不同操作介面的管理工具,才得以發揮效益。「如今微軟全數皆可涵蓋,在Azure ATP中已內建Windows Defender ATP,從底層系統到應用軟體皆為微軟的技術,更能掌握安全性問題,進而建立保護措施。」林敬傑說。

就狙殺鏈活動階段來看,當攻擊者順利感染內部電腦後,開始逐步進行內部偵查、橫向移動、利用網域管理者權限探查數位資產等行為,對此若經由Azure ATP蒐集資料來源、分析與學習、偵測、告警與調查,可及早發現惡意活動、異常行為,抑或是高風險的問題。


▲ 微軟整合旗下Azure ATP、Windows Defender ATP、Office 365 ATP等服務,建構內部威脅防禦。

蒐集足夠的資料,並且建立關聯性,可說是資料分析的首要步驟。林敬傑觀察,至今仍有許多企業對於將資料遞送到雲平台有所疑慮,實際上,Azure ATP只需要取得檔案的Metadata即足夠,不需要完整的檔案,基於雲端平台強大的實體資源進行彙整,透過機器學習演算分析應用情境行為模式,之後再透過內部流程,以解析後的資料模型為基礎,實際運行操作流程,來偵查出異常之處。

「微軟的優勢之一,在於全球約九成的電腦採用Windows作業系統,因此微軟智慧資安圖表已掌握相當豐富的威脅情資,只是過去較少對外說明。其實我們早就已經開始基於自家撰寫的演算法,進行威脅情資的資料探勘(Data Mining),產生的結果再餵入人工智慧平台,藉此來訓練機器學習資料模型建立偵測異常行為的精準度。」

此外,經過機器學習資料模型解析後判斷的數據,會同時發布到各個不同解決方案,例如Windows Defender ATP、ATA、Office 365 ATP等輔助偵測或執行回應。

整合端點進階威脅防護辨識TTP

▲台灣微軟資深產品行銷協理林敬傑指出,最新發布的微軟智慧資安圖表已開放API,協同合作夥伴之力,彼此交換擁有的情資,藉此更接近即時地掌握攻擊者所採用的手法、技術與發動流程。
Azure ATP主要偏重於IT環境中的郵件、終端電腦、身分驗證(Identity)防護,其中尤以來自郵件的惡意程式最難偵測,林敬傑說明,近年來常見的手法是在郵件附加檔案中夾帶PowerShell指令,誘使收件者點選開啟後隨即植入惡意程式碼,進而竊取電腦帳密。

「訂閱Azure ATP服務分析異常行為,可及時偵測發現端點遭滲透的事件。主要即是Azure ATP可分析所有連線的行為,比對智慧資安圖表蒐集的情資,例如訂閱Office 365雲端服務的用戶,可藉由Azure ATP分析比對國際間相同產業的威脅趨勢,主動通知端點的Windows Defender ATP,建立辨識攻擊者慣用的工具、技術與程序(TTP)。」

就整體架構來看,Azure ATP雲端服務是在網域服務系統中安裝輕量化感知程式,來執行系統產生的事件檔蒐集;或是在閘道端建置獨立的感知伺服器,可透過連接埠複製傳輸流量,基於深度封包解析技術取得網路層的連線行為。

Azure ATP獨立感知伺服器可安裝在執行Windows Server 2012 R2或2016系統環境,在防火牆或Proxy服務中針對「*.atp.azure.com」設定開啟443連接埠,即可運行蒐集。Azure ATP將根據行為機器學習演算法來指出異常,以及運用決定性演算法(Deterministic Algorithm)來解析狙殺鏈活動行徑,讓IT管理者登入工作區入口網站檢視分析數據。

及時調查異常活動以免特權帳號遭竊

針對內部可疑活動資訊,在Azure ATP工作區入口網站上,會依照時間順序列出相關內容,包含實體主機、使用者帳號、發生的時間,以及嚴重性的等級。低度嚴重性的定義是該行為使得機敏資料遭竊取的風險增高;中度嚴重性則表示身分被盜用或提升為特殊權限的風險增高;高度嚴重性則是該活動行為建議優先調查,以免造成資安事故。

由於攻擊者在滲透入侵電腦系統後,通常會把已取得的使用者帳號新增到高權限群組,便能基於合法存取行為探查高經濟價值的核心系統資源。因此應針對高敏感性(例如董事會成員、財務長等營運核心管理者)群組或帳號進行監看,一旦發生異動狀況,需進一步調查釐清究竟是惡意活動或誤判。

即便如此,終端電腦仍無法百分之百免於遭受滲透入侵,攻擊者仍可能在內部網路嘗試橫向移動,竊取高敏感性的帳號。IT管理者可利用Azure ATP工作區入口網站提供的橫向移動路徑功能查看異常活動,檢視以特殊權限帳號為起點呈現的行為路徑地圖,從中了解暴露程度。

林敬傑補充,類似機制在ATA即將推出的1.9版同樣具備,做法是增加手動標記高敏感性的帳號或群組,之後運行使用行為分析,在登入網域後存取機敏資料時,針對該分類的行為不須發出告警通知,可能財務長一年只有存取一次機敏檔案,對ATA分析機制而言會被判定為異常行為,藉此可降低誤告警的狀況發生。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!