Microsoft美國舉行Ignite年度大會,針對數碼化轉型,出席人數達二萬三千人,推出一系列產品及服務,涵蓋安全、智能、雲端服務,愈來愈多機構採用雲服務,並且使用流動設備,用戶不再受防火牆內保護,如何保護用戶身份和資料,避免惡意網站攻擊,變得相當關鍵。
近年,Microsoft積極投資IT安全,提昇Windows 10和Edge瀏覽器的安全性,本港中電集團和製衣業的晶苑集團,分別於Ignite大會介紹使用Windows 10和保安策略的優點。
流動和雲用戶應用增加,Microsoft利用Active Directory(AD)識別身份和授權,以AD加強安全;最有趣技術可算是Advanced Threat Analytics,透過AD所獲身份識別和授權,用戶存取活動,再加上不同來源資料,以現代「離散數學」(Discrete Mathematics)的Graph理論,計算出可疑的風險事故。MicrosoftGraph作為提昇企業運作效率,開發出可自動發現相關人物和資料的智能應用,甚至可推斷項目應邀請的人物,連結相關的文件。
Ignite大會上,Microsoft推出「安全生產力企業」(Secure Productive Enterprise,SPE)產品組合,結合Windows 10企業版、Office 365企業版、Enterprise Mobility + Security(EMS)、Windows Defender Advanced Threat Protection (WDATP)和Office 365 Advanced Threat Protection(O365ATP),E3和E5兩套產品;Microsoft推薦採用比較先進的E5版本。
E5版本內提供了WDATP和O365 ATP,兩者並分享保安情報,再加上外來威脅情報,匯集了全球最大安全情報網。
Office 365及Windows情報互通
Microsoft是全球用戶最多的雲服務,Office 365每天處理大量郵件,又是惡意程式最大來源。郵件通過附件形式,或超連結(Hyperlink)惡意網站,誘使用戶中招。
一般來說電郵過濾功能,只檢查發出電郵身份,分析電郵內容,又或附件是否感染病毒。不少惡意連結利用臨時產生的URL,附件病毒又不斷變種,防不勝防。
Microsoft企業流動安全(EMS)總經理Andrew Conway表示,Office 365傳送附件都經虛擬機器先行打開,再檢視所有超連結,是否轉駁惡意網站,或者試圖種入惡意源碼,以URL引爆(URL detonation)形式馬上發現有問題的連結。
Microsoft的Windows及設備部門副總裁Yusuf Mehdi說,O365ATP整合FireEye公司的iSight威脅情報,一旦有安全事故,SPE用戶可快速從Office 365和Windows的Security Center一同封鎖,或展開調查。
O365 ATP保護不再只是辨認,而是打開郵件內容逐一測試。這種保護形式優點是完全實時,杜絕零日攻擊。但Microsoft每月處理的電郵,達到二千億封,工作量之大,可想而知,又更新超過十億部設備防毒及防惡意軟件,但情報量之多,Office 365比任何電郵系統更加安全。
以沙盒(Sandbox)技術檢查附件,跟FireEye所採用方法相若。但沙盒也非絕對可靠,病毒可偵察VM而按兵不動,又或分開成不同片段下載,化零為整出擊。WDATP再用了大數據分析,甚至身份分析,找出可疑的用戶端行為。
Graph理論新應用
WDATP本來原是雲服務,幫助企業偵查、調查,並快速向攻擊作出反應;其中包括了感應Windows用戶行為、雲端保安大數據分析,整合上述威脅情報,再加上Microsoft Security Graph,可即時發現異常活動。Graph數學已廣泛用於社交網絡,分析用戶關係和互動。Graph分析人脈網絡,可應用於反恐,甚至揪出關鍵人物,瓦解犯罪集團。
Conway說,所有登入活動必須經過AD,Microsoft Security Graph所採用的數學原理,採用了Azure AD身份資料,加上登入、授權、各項連接設備的連接時間和地點,接入方式和行為,自動推測風險事故。
Microsoft研究Graph應用多時。今年的Build用戶大會,發表了Microsoft Graph的API,開發Office智能應用,統一蒐集分析雲端上應用和文件;從大量數據,以Graph來推斷不同關係。Microsoft的Graph支援API,整合雲端上資料,自動連接起文件和人物關係,找出最合用資料,參考文件,建議開會時間和人物等。上月,Microsoft再在Microsoft Graph上公佈Azure AD的身份保護API。Microsoft Security Graph通過API分析Azure登入身分和連接行為,計算出風險系數,以PowerBI視覺化圖表整理成儀表板(Dashboard)上呈現,PowerBI還可深入探究事發細節內容。Azure的保安,可能比企業內還要周全。
Conway說,原來Advanced Threat Analytics原只是於Azure上提供,不少企業渴求下,Microsoft也提供企業內部可安裝的版本。他表示,不尋常的行為,可能也代表員工本身的異心,如企業發展的不尋常行徑,原來是員工離任之前,盗取敏感資料到競爭對手。
晶苑集團就是升級到Windows 10,並利用Microsoft Advanced Threat Analytics,從企業內AD登入活動,加上網絡連接,各項終端的紀錄,文件和資料存取等來源紀錄,破解身份是否遭盗用,分析潛在安全事故。
Microsoft Graph也可加強應用智能,改善營運效率。Microsoft所推出的Office Graph,就是從工作中各項Office應用連接的資料,上傳到Azure的「機器學習」(Machine Learning Service),自動找出某項目中最關鍵人物或文件,建立更佳團隊協作。例如從存取文件、電郵、安排會議的歷史,通過Graph分析,改善員工之間的互動,甚至提昇工作習慣效率。Microsoft這項分析功能稱為Delve,現更名MyAnalytics,同樣利用Microsoft Graph開發,可見應用之成熟。
Edge成最安全瀏覽器
近九成網絡入侵均通過瀏覽器,Microsoft推出了Windows Defender Application Guard,結合作業系統作防禦;原理是先以虛擬機器和Edge瀏覽器,完全分隔企業Web應用和其他網站,管理人員可在Group Policy內界定獲信任網址,不在信任之列,則只能在Hyper-V虛擬平台上Windows容器內執行,即使用戶誤入有陷阱的網站,惡意程式也不能感染設備或網絡上的電腦,相等以另一系統打開網站,比軟件沙盒更加安全。用戶關閉Edge,VM隨之消失,瀏覽活動,以至臨時Windows機器也銷毀,故不可能出現感染。
沒有留言:
發佈留言