微软发布杀手级移动资讯安全平台

CTI论坛(ctiforum)9月8日消息（记者 李文杰): 随着云端服务与移动装置普及所带来的BYOD (Bring Your Own Device) 趋势，单纯的被动防御已经无法满足企业整体的资讯安全防护需求。为协助企业化被动防御为主动侦测与预警，台湾微软今(三) 日发布进阶威胁分析技术(Advanced Threat Analytics，ATA)，通过分析、自我学习、侦测及预警四步骤，协助企业御敌于机先，同时结合企业移动化管理方案(Enterprise Mobility Suite， EMS) 三大防护机制，建立移动化世代全方位的资讯安全。

随着移动装置普遍带来「方便」，企业机密易因内忧外患而泄漏，导致不可挽救的惨痛损失

在一个行移动优先、云端至上的世界，员工自携装置到工作场所的 BYOD趋势与移动网络普及，让员工可从不同地点、装置存取企业资料以维持生产力，而导入移动化的同时可能为企业带来资料外泄的隐忧；此外，骇客通过网络攻击与威胁的频率以及严重性也变得更加复杂且难以预防，加上台湾近年来已经从被「骇」对象转变为骇客攻击的加害跳板。根据统计，在众多网络攻击中，企业目录服务中的身分认证是最常见的攻击目标，有76%被入侵的网络都因为使用者的身分被骇客窃取所致；值得注意的是，当企业环境遭受骇客或有心人士的攻击，IT人员平均需要200天以上才能发现遭入侵的系统漏洞，国内的企业则近一年，这段时间，可能已经造成企业不可挽救的机密外泄损失；根据统计，企业因资安问题造成的平均损失接近350万美元(相当于新台币1亿1千300万元)。近年常发生的身分认证攻击，包括骇客借网络攻击、窃取使用者认证以提升权限，且以合法工具 (而非恶意程式码) 做为攻击手段的案例等也更见频繁。

微软企业移动化管理方案(EMS) 四大防卫机制 全面防护跨移动装置平台的资讯安全

微软因应企业及移动管理的趋势，持续致力于强化企业资安蓝图的布局，协助企业能够跨内部部署 Active Directory Domain Services (AD DS) 与云端，以共通的身分识别整合基础架构技术环境；为此，微软研发出「企业移动化管理方案」EMS (Enterprise Mobility Suite) ，囊括混合式身分识别管理(Azure AD Premium) 、移动装置管理(Microsoft Intune) 、资讯保护(Azure Rights Management)、进阶威胁分析技术(Advanced Threat Analytics)等四大防护管理，建立完善防卫机制，四大防护策略如下：

混合式身分识别管理(Azure AD Premium) ：帮助企业通过云端管理内部部署目录使用者的身份识别、基础布建和存取管理，让员工拥有适用的云端自助式密码设定，而从机器学习导向的资讯安全报告，可显示登入异常状况和其他威胁。

移动装置管理(Microsoft Intune) ：企业可从云端管理及盘点所有电脑和各种跨平台移动装置，员工可使用所喜爱的装置工作，同时又可确保公司资料的安全。

资讯保护(Azure Rights Management) ：以云端或包含现有内部部署基础架构的混合模式，透过简便易用的软件开发套件 (SDK) 将资讯保护整合到公司应用程式之中，保护公司资讯及资产。

进阶威胁分析技术(Microsoft Advanced Threat Analytics) ：通过内建情报以识别可疑的使用者和装置活动运用深层封包侦测技术以及其他资料来源所提供的资讯建立组织资讯安全图表，并以近乎即时的方式侦测进阶攻击。

「对IT或企业来说，考量到的不只是跨平台间的系统整合与部署，更需要的是移动安全防护与安全威胁预警的机制；EMS多元的解决方案结合市场趋势和技术实力，是企业迈入移动与云端优先世界的全方位资讯安全解决方案。」 台湾微软云端与企业平台事业部副总经理叶怡君特别强调：「移动网络与装置的普及带来的移动资讯安全挑战变化快速，仅有被动防护仍有不足，EMS解决方案中的进阶威胁分析技术(ATA) 可把企业资讯安全系统从被动防护提升到主动分析、预测及预警的强化防护，让EMS四大防护机制更加强化，进而守护企业因应移动化世代的资讯安全。」

通过微软机器学习增强ATA的判断与侦测能力 10倍加速资安威胁通报的时间

因应大数据的新时代，微软机器学习(Azure Machine Learning，ML) 成为企业资讯安全防护机制中能够学习并侦测的重要推手；机器学习应用主要结合于EMS四大防护机制的进阶威胁分析技术(ATA)，借由最短21天的主动学习，记录使用者行为、使用装置与资源存取轨迹，并据此侦测是否有任何异常状况、预测可能的资讯安全威胁发生，主动通报预警，让ATA能发掘出以往需要平均200天以上才能被发现的潜藏资安攻击，缩短发现使用者异常行为的时间，大幅降低企业因资安危机所带来的损失。

微软自1994年开始推出机器学习(Machine Learning)服务的雏型后，持续在机器学习领域发展，借由结合Microsoft Azure云端运算、大数据即时分析，持续地接受资料学习正确判断、筛选内容，甚至从中找出实用资料并进一步预测，至今已广泛运用于各项产业，「企业资讯安全防护」更是其中重要的应用之一，成为强化微软进阶威胁分析技术(ATA) 的重要一环。

微软进阶威胁分析技术(ATA) 预警四步骤 助企业快速部署，并通过主动、严密、精细的演算保护身分验证服务

微软进阶威胁分析技术(Advanced Threat Analysis，ATA) 是微软新一代内部部署平台的资讯安全解决方案，它会自动分析、学习和识别正常及非正常的实体 (使用者、装置和资源) 行为，进而保护企业以避免遭受进阶的锁定目标攻击。借由四大御敌步骤，通过机器学习及主动行为分析，预测、防范并主动通知管理者不寻常行为及可能受到的危害，可为企业带来即时威胁侦测、快速行为分析与动态调整、减少预警误报造成的消耗、有效聚焦出攻击时间表等四大好处。进阶威胁分析技术(ATA) 的御敌四步骤详述如下：

【步骤一：分析】

安装完成后，只要使用预先设定、非侵入式的连接埠镜像，即可将与AD相关的所有流量镜像至 ATA，同时避免攻击者察觉。ATA 会使用深层封包侦测技术来分析所有AD流量，可以从安全性资讯和事件管理(Security Information and Event Management， SIEM)，整合其他来源并收集相关事件。

【步骤二：自动学习】

ATA 自动通过机器学习(Azure Machine Learning) 学习和剖析使用者、装置和资源的行为，然后运用自身的自我学习技术建立组织资讯安全图表。组织资讯安全图表会对映到使用者、装置和资源关联性及活动的实体互动。

【步骤三：侦测】

在建立组织资讯安全图表后，ATA 会开始找出实体行为中的任何异常现象，并识别可疑活动。不过，这些不正常活动要先经过资安管理人员进行关联性汇整及确认。

【步骤四：发报警告】

ATA将会通报不正常和可疑活动，并且，为了进一步提高预警准确度以节省IT的时间和资源减耗，ATA会在发出警示之前比较实体行为和自身行为，及比较互动路径中其他实体的行为，大幅降低误判数量让IT更能集中对付实际威胁。

此外，ATA更可通过机器学习，在分析和记录使用者、装置、资源等实体的行为后自我学习，以应付快速演化的网络攻击；叶怡君进一步呼吁，网络攻击防御不可忽视，尤其对于公司机密若不慎外流或被不法使用，将导致严重无法挽救损失的企业客户而言，如政府机构、金融产业或科技资讯产业等，都应该更加倍重视企业资讯安全的管理，借由导入为企业量身打造的客制化的EMS+ATA全方位解决方案，共同强化企业防护机制，更启动积极的主动分析、预测及预警的加持防护，为企业创造加倍双乘的企业资讯安全防护效益。

TypeScript 迭代器(Iterator)

Wiki宝典

05 Python 代码如何运行