当前位置: U赢电竞官网DOTA2 > U赢电竞官网DOTA2
U赢电竞官网DOTA2

台湾微软 iThome CYBERSEC资安大会媒体团访 QA精华摘要

来源:http://dede.com 日期:2021-09-16 20:54 浏览量:

创建零信任的资安思维 微软智慧资安助企业打击新常态下的资安危机!

后疫情混合工作模式( Hybrid of Work )已成新常态( New Normal),企业面临的资安挑战除了办公室内发生的资安威胁风险外,更将面临员工在家中或是远端工作时装置端的资安风险。

企业的资安风险主要来自员工违反内部政策,轻易泄漏公司的机密信息给外部人员,而这样的行为往往不易被发现,直到组织受到重大伤害时才会被察觉。 因此如何借由主动管理内部风险,清楚了解风险、增加违反内部政策行为与资料外泄的能见度,并订定补救措施,并强化企业全体员工对于零信任的认知,以及落实零信任的确认管理机制,就变得更加重要。

台湾微软今年参加“iThome CYBERSEC资安大会”,并于8月11日举办媒体团访,特别由台湾微软Microsoft 365 事业部副总经理 陈慧蓉,以及大会讲师 微软亚洲区云端解决方案总监 佐藤大辅、台湾微软资安产品经理 张士龙,分享在新常态工作模式下,企业可如何透过微软AI及时侦测企业内忧(企业员工) 与外患(外部的攻击) 的攻击信号,并进行自动回应,有效降低资安风险威胁,深度了解微软为何重视零信任及内部风险,以及Microsoft AI Security如何实时发觉潜在攻击信号并进行自动地回应。

 

微软借重云端之力开发智慧资安解决方案,将使用身份泄露产生的风险降低99.9%以上

Q:目前的AI警示系统如何将资安事件警示转化为可读性资料,并有效减少企业IT人员需要关注的事件何?其中减少的幅度、减少方式,以及微软如何搜集这些数据进行事件分析的关联工作模式?

Ÿ   企业资安问题容易遭遇突发事件影响,因此微软透过AI技术学习、分析和判读事件Log,根据使用者的端点防护帐号、IP和对外连线状况等信息,就能了解使用者行为路径、网站存取、工作时间、工作习惯等等,创建行为关联图。再依据使用行为关联图及历经约45天的AI学习基础,加强AI分析及判读后结果,目前预估大约可降低90% 事件警示。

Q:多数企业拥有多家资安分析工具,目前是否有可以统合各公司事件Log分析的方式?以及对企业而言,建议可以以谁为主,以谁为辅,而微软又是如何看待现今企业执行资安分析的模式?

Ÿ   每一个系统/事件都有自己的Log,只要丢进微软AI资安情境(Scene)系统中就可以进行分析。每一间企业的守则皆是独立的,且每一个守则多是由人为套入,许多企业也会选择在人为分析后,再投入微软AI资安情境(Scene)系统中再执行分析确认最终的事件关联图样貌,并将每一个独立的攻击信号变成完整的资安事件处理,当外部的IP位址进到公司的节点后,进入了哪台电脑或装置,关系事件是否有干扰到其他接口等,绘制出完整的关联图脉络

Ÿ   微软可以透过云端将所有事件的搜集,并透过AI技术把关系图画出来,画出来之后就可以主动进行自动回应、侦测和防护,在保护企业资安同时,也透过数据和时间佐证攻击信号是否属实,进而侦测并做相对应的通报

Q:客户使用很多SAAS服务或者是云端服务,要如何怎么防止云端的资安攻击威胁?

Ÿ   微软已有和多家厂商合作提供更多元的云端资安服务,并可根据不同企业的资安需求,提供合适的解决方案建议

Ÿ   根据目前微软观察,台湾多数中大型企业最常遇到的事件提醒便是尝试密码错误,当错误三次系统即会锁住使用者登入权限,而事件就发生了,而企业也因此重复事件太多,麻痹了对资安的异常行为警惕,在发生真正的资安攻击时没发现骇客、恶意软件等威胁存在,加长企业处理资安危机的时程。微软也提醒资安事件绝对不是透过一个点去判断,而需要透过多因素信息判断整体,才能找寻和发现真正的资安攻击行为,及早预防和采取保护措施,这更是透过微软资安AI可协助企业加速判读事件重要性的最大优势之一。

 

企业员工在远端及办公室的混合工作模式将成为新常态,企业应创建零信任认知降低内部风险

Q:防疫新生活状态下,企业纷纷实行居家工作的新常态工作模式,企业用户使用的端点装置数量、位置、身分,产生了多重因子,在划分不同的云平台和生产力环境、共享装置时,是否也可套用关联式分析方式来判读使用者行为?企业要如何降低机密外泄的资安风险?

Ÿ   在实施居家办公后,多数企业面临生产模式转变的阵痛期,而在外部的员工仍需要远端存取内部的工作资源,因此企业更需要纳入更多的资安验证因素,在登入时不只是依靠身分验证,微软更有 Windows Hello 脸部辨识、装置、应用程序等多重要素验证(MFA),确保每个验证因素都正确资料,且是本人才能登入。目前微软每个人都已换成相关设备,在后疫情时代,有些企业已经开始针对第二波疫情超前准备,并好奇和追随微软的工作模式

Ÿ   在装置设备上,有两种方式可以加强MFA验证方式:一、供应商提供的防火墙;二、透过使用者手机作为验证并绑定本人,例如手机指纹辨识等。除了双重认证作确认之外,企业也可透过条件式存取( Conditional Access ),根据使用者条件同意存取权。例如,当系统察觉到使用者登入行为异常、IP位址错误,便可能因条件判断不安全,不同意使用者登入。借由条件式存取增加验证条件,以有效地保护企业的资料及访问权限。

Q:其实很多资安事件都是人为疏忽造成,目前有可透过AI侦测防止使用者误触不安全的网络或不小心泄漏资料的配套措施吗?

Ÿ   微软100%执行零信任的资安概念,内部IT人员更时常实行内部员工的资安演练,以确保员工是否疏忽潜藏的资安危机。面对资安事件,除了采取防堵行为方式外,微软建议可采取五大营业秘密保护策略,将企业资料事先做好分类、分集、加密,加上身分、装置等所有的MFA多因素身分验证设置,即使发生资料外泄,外部人员亦无法通过验证存取文件:

1. 盘点定义营业机密

2. 分级类标签化

3. 监控预警异常行为

4. 搜集保全数码证据

5. 专家鉴识减损失

Ÿ   针对远距工作,微软确实有不同的远距工作平台,其中 Microsoft Teams 是创建在Microsoft 365最高规格的防护下,包含所有文件、聊天等资料。最近在数个欧美企业发生资安事件后,许多国外政府、学校都指名使用有最高规格的防护的 Microsoft Teams ,让每一个人都是单独的使用者,其使用行为可随时随地都在安全防护网络下,让企业不需针对远距工作有额外的资安考量。

Q:条件式存取的方式是否表示终端使用者不须要记得更多的密码,反而也将许多资安工作转嫁在企业内部资安人员的身上,包含需要进行独立装置认证、访问权限等条件的设定等?

Ÿ   微软观察多数企业已经朝向无密码系统形式( Password less,或kill password ),强调以后不需使用密码,而这可以透过MFA机制实现。对装置信任为基础的情况下,它会以各种条件,例如:询问是否为本人、是否允许登入,或侦测IP为正常/无风险等方式认证,就不需每个帐户都要记忆密码。

Ÿ   透过集成MFA、无密码的管理方式,后端也产生相对应的好处,每个装置都装有Microsoft Intune,在做任何认证、访问时就能确保装置是安全且受使用者控制的,只要透过MFA的方式,就能进入SAAS 应用程序,在不增加管理困难度的条件下作同意使用者进入认证装置及访问权限,且受到资安保护,减少企业资安人员的管理复杂度。

 

本文由:U赢电竞官网DOTA2 提供