跳過主内容

建立零信任的資安思維 微軟智慧資安助企業打擊新常態下的資安危機

在後疫情時代,混合工作模式( Hybrid Workplace )已成新常態( New Normal ),企業面臨的資安挑戰除了辦公室內發生的資安威脅風險外,更將面臨員工在家中或是遠端工作時裝置端的資安風險。

企業的資安風險主要來自員工違反內部政策,輕易洩漏公司的機密訊息給外部人員,而這樣的行為往往不易被發現,直到組織受到重大傷害時才會被察覺。 因此如何藉由主動管理內部風險,清楚了解風險、增加違反內部政策行為與資料外洩的能見度,並訂定補救措施,並強化企業全體員工對於零信任的認知,以及落實零信任的確認管理機制,就變得更加重要。

台灣微軟今年參加「iThome CYBERSEC資安大會」,並於8月11日舉辦媒體團訪,特別由台灣微軟Microsoft 365 事業部副總經理 陳慧蓉,以及大會講師 微軟亞洲區雲端解決方案總監 佐藤大輔台灣微軟資安產品經理 張士龍,分享在新常態工作模式下,企業可如何透過微軟AI及時偵測企業內憂(企業員工) 與外患(外部的攻擊) 的攻擊訊號,並進行自動回應,有效降低資安風險威脅,深度了解微軟為何重視零信任及內部風險,以及Microsoft AI Security如何即時發覺潛在攻擊訊號並進行自動地回應。

後疫情時代的新常態,企業面臨內憂(員工)外患(外部攻擊)資安威脅將增加,台灣微軟Microsoft 365 事業部副總經理 陳慧蓉呼籲企業應加速建立零信任資安管理機制
後疫情時代的新常態,企業面臨內憂(員工)外患(外部攻擊)資安威脅將增加,台灣微軟Microsoft 365 事業部副總經理 陳慧蓉呼籲企業應加速建立零信任資安管理機制

微軟借重雲端之力開發智慧資安解決方案,將使用身份洩露產生的風險降低99.9%以上

Q:目前的AI警示系統如何將資安事件警示轉化為可讀性資料,並有效減少企業IT人員需要關注的事件何?其中減少的幅度、減少方式,以及微軟如何蒐集這些數據進行事件分析的關聯工作模式?

  • 企業資安問題容易遭遇突發事件影響,因此微軟透過AI技術學習、分析和判讀事件Log,根據使用者的端點防護帳號、IP和對外連線狀況等資訊,就能了解使用者行為路徑、網站存取、工作時間、工作習慣等等,建立行為關聯圖。再依據使用行為關聯圖及歷經約45天的AI學習基礎,加強AI分析及判讀後結果,目前預估大約可降低90% 事件警示。

Q:多數企業擁有多家資安分析工具,目前是否有可以統合各公司事件Log分析的方式?以及對企業而言,建議可以以誰為主,以誰為輔,而微軟又是如何看待現今企業執行資安分析的模式?

  • 每一個系統/事件都有自己的Log,只要丟進微軟AI資安情境(Scene)系統中就可以進行分析。每一間企業的規則皆是獨立的,且每一個規則多是由人為套入,許多企業也會選擇在人為分析後,再投入微軟AI資安情境(Scene)系統中再執行分析確認最終的事件關聯圖樣貌,並將每一個獨立的攻擊訊號變成完整的資安事件處理,當外部的IP位址進到公司的節點後,進入了哪台電腦或裝置,關係事件是否有干擾到其他介面等,繪製出完整的關聯圖脈絡
  • 微軟可以透過雲端將所有事件的蒐集,並透過AI技術把關係圖畫出來,畫出來之後就可以主動進行自動回應、偵測和防護,在保護企業資安同時,也透過數據和時間佐證攻擊訊號是否屬實,進而偵測並做相對應的通報

Q:客戶使用很多SAAS服務或者是雲端服務,要如何怎麼防止雲端的資安攻擊威脅?

  • 微軟已有和多家廠商合作提供更多元的雲端資安服務,並可根據不同企業的資安需求,提供合適的解決方案建議
  • 根據目前微軟觀察,台灣多數中大型企業最常遇到的事件提醒便是嘗試密碼錯誤,當錯誤三次系統即會鎖住使用者登入權限,而事件就發生了,而企業也因此重複事件太多,麻痺了對資安的異常行為警惕,在發生真正的資安攻擊時沒發現駭客、惡意軟體等威脅存在,加長企業處理資安危機的時程。微軟也提醒資安事件絕對不是透過一個點去判斷,而需要透過多因素資訊判斷整體,才能找尋和發現真正的資安攻擊行為,及早預防和採取保護措施,這更是透過微軟資安AI可協助企業加速判讀事件重要性的最大優勢之一。
    台灣微軟資安產品經理 張士龍現場分享近期觀察到的AI資安偵測與防禦攻擊事件案例和趨勢,強調微軟借重雲端之力,可提供企業全方位的智慧資安解決方案,將使用身份洩露產生的風險降低99.9%以上
    台灣微軟資安產品經理 張士龍現場分享近期觀察到的AI資安偵測與防禦攻擊事件案例和趨勢,強調微軟借重雲端之力,可提供企業全方位的智慧資安解決方案,將使用身份洩露產生的風險降低99.9%以上

    企業員工在遠端及辦公室的混合工作模式將成為新常態,企業應建立零信任認知降低內部風險

    Q:防疫新生活狀態下,企業紛紛實行居家工作的新常態工作模式,企業用戶使用的端點裝置數量、位置、身分,產生了多重因子,在劃分不同的雲平台和生產力環境、共用裝置時,是否也可套用關聯式分析方式來判讀使用者行為?企業要如何降低機密外洩的資安風險?

    • 在實施居家辦公後,多數企業面臨生產模式轉變的陣痛期,而在外部的員工仍需要遠端存取內部的工作資源,因此企業更需要納入更多的資安驗證因素,在登入時不只是依靠身分驗證,微軟更有 Windows Hello 臉部辨識、裝置、應用程式等多重要素驗證(MFA),確保每個驗證因素都正確資料,且是本人才能登入。目前微軟每個人都已換成相關設備,在後疫情時代,有些企業已經開始針對第二波疫情超前準備,並好奇和追隨微軟的工作模式
    • 在裝置設備上,有兩種方式可以加強MFA驗證方式:一、供應商提供的防火牆;二、透過使用者手機作為驗證並綁定本人,例如手機指紋辨識等。除了雙重認證作確認之外,企業也可透過條件式存取( Conditional Access ),根據使用者條件同意存取權。例如,當系統察覺到使用者登入行為異常、IP位址錯誤,便可能因條件判斷不安全,不同意使用者登入。藉由條件式存取增加驗證條件,以有效地保護企業的資料及訪問權限。

    Q:其實很多資安事件都是人為疏忽造成,目前有可透過AI偵測防止使用者誤觸不安全的網路或不小心洩漏資料的配套措施嗎?

    • 微軟100%執行零信任的資安概念,內部IT人員更時常實行內部員工的資安演練,以確保員工是否疏忽潛藏的資安危機。面對資安事件,除了採取防堵行為方式外,微軟建議可採取五大營業秘密保護策略,將企業資料事先做好分類、分集、加密,加上身分、裝置等所有的MFA多因素身分驗證設置,即使發生資料外洩,外部人員亦無法通過驗證存取檔案:
    1. 盤點定義營業機密
    2. 分級類標籤化
    3. 監控預警異常行為
    4. 蒐集保全數位證據
    5. 專家鑑識減損失
    • 針對遠距工作,微軟確實有不同的遠距工作平台,其中 Microsoft Teams 是建立在Microsoft 365最高規格的防護下,包含所有檔案、聊天等資料。最近在數個歐美企業發生資安事件後,許多國外政府、學校都指名使用有最高規格的防護的 Microsoft Teams ,讓每一個人都是單獨的使用者,其使用行為可隨時隨地都在安全防護網絡下,讓企業不需針對遠距工作有額外的資安考量。

    Q:條件式存取的方式是否表示終端使用者不須要記得更多的密碼,反而也將許多資安工作轉嫁在企業內部資安人員的身上,包含需要進行獨立裝置認證、訪問權限等條件的設定等?

    • 微軟觀察多數企業已經朝向無密碼系統形式( Password less,或kill password ),強調以後不需使用密碼,而這可以透過MFA機制實現。對裝置信任為基礎的情況下,它會以各種條件,例如:詢問是否為本人、是否允許登入,或偵測IP為正常/無風險等方式認證,就不需每個帳戶都要記憶密碼。
    • 透過整合MFA、無密碼的管理方式,後端也產生相對應的好處,每個裝置都裝有Microsoft Intune,在做任何認證、訪問時就能確保裝置是安全且受使用者控制的,只要透過MFA的方式,就能進入SAAS 應用程式,在不增加管理困難度的條件下作同意使用者進入認證裝置及訪問權限,且受到資安保護,減少企業資安人員的管理複雜度。

      微軟亞洲區雲端解決方案總監 佐藤大輔現場分享內部風險管理對於降低新常態資安風險的重要性,企業可如何透過微軟AI技術面預防資安攻擊威脅
      微軟亞洲區雲端解決方案總監 佐藤大輔現場分享內部風險管理對於降低新常態資安風險的重要性,企業可如何透過微軟AI技術面預防資安攻擊威脅