[資安小常識] Microsoft 推出 ATA Advanced Threat Analytics 預覽版!

在現今網路使用者遭受許多資訊安全危害,包括暴力密碼破解攻擊、匿名攻擊、非典型位置的異常攻擊和許多其他類型的攻擊。而Microsoft剛發佈了 Microsoft Advanced Threat Analytics(ATA),Microsoft ATA 是一個新的內部部署產品,提供 Azure AD 模式的安全性監控和異常偵測內部部署,提供使用者新一代資訊安全防護。

ATA偵測進階攻擊的方法是針對實體(使用者、裝置和資源)行為分析(現今通常稱為使用者行為分析[User Behavior Analytics,UBA])和即時偵測攻擊者的方法、技術和程序(Tactics、Techniques 和 Procedures,TTPs)等組合。]

1. 在使用者行為分析中僅使用機器學習演算法不足以偵測進階攻擊;我們需要更全方位的方法。

大多數情況下,演算法多為事後偵測異常,但有很大的可能攻擊者已經成功攻擊。若以綜合安全風險、TTPs即時攻擊的偵測以及利用機器學習演算法做行為分析,如此的防範機制才可提供全方位、即時的資訊安全保護。

2. 分析多個資料來源,是偵測進階安全性攻擊的關鍵。

分析記錄檔無法全面剖析資安風險,甚至會向您誤報;真正的辨識項位在網路封包中。這就是為什麼您需要深度封包檢查(deep packet inspection,DPI)、分析紀錄檔以及解析 Active Directory 資訊的組合來偵測進階攻擊。

行為分析結合即時偵測 TTPs

Microsoft ATA 是一套內部部署、非侵入式(non-intrusive)的解決方案,利用深度封包檢查(DPI)技術來分析 Active Directory 等相關網路流量,以及來自Security Information and Event Management (SIEM) 的資訊。

ATA 分析這些資訊在您的組織為每個實體建立動態行為設定檔,並建立一個組織安全性視圖(實體互動地圖顯示使用者、裝置和資源的活動內容)。

建立互動地圖後,ATA將識別 異常行為進階攻擊和安全性風險, ATA無須安裝桌面與伺服器代理程式。Microsoft Advanced Threat Analytics 有三個主要防範機制:

  • 異常行為偵測 :ATA 使用機器學習演算法來偵測異常的使用行為,包含異常登入與資料存取,甚至是異常的活動時間。
  • TTPs 即時進階攻擊 :ATA 使用 DPI 和來自其他來源的資訊來識別進階攻擊,像是Pass-the-Hash、Pass-the-Ticket、Overpass-the-Hash、Forged PAC(MS14-068)、Golden Ticket 和遠端執行網域控制站(Domain Controllers)、萬能鑰匙惡意軟體(Skeleton Key Malware)、Honey token活動等。
  • 已知的安全性風險 :ATA也會識別已知的安全性風險,例如服務帳戶在網路上以純文字的方式公開密碼、信任關係中斷(broken trust)、通訊協定弱點與漏洞。

ATA  如何運作?

  • 經過簡單的部署精靈後,非侵入式連接埠監控(port mirroring)設定複製所有 Active Directory 相關流量到 Microsoft ATA 來偵測隱藏攻擊。 

Microsoft Advanced Threat Analytics 接著分析所有 Active Directory 相關流量,再從您公司的 SIEM 接收相關紀錄。重要的是 ATA 的所有資訊皆會儲存在本機,所以使用者個人資料不會離開該單位。

偵測引擎自動學習和剖析使用者的行為、機器與資料,然後利用機器學習技術匯出日常活動圖。

熟悉正常使用者行為後,ATA 若查詢到異常情況,會發出紅色旗幟和送出通知給安全團隊,並將這些異常活動的內容與即時進階攻擊偵測和安全性風險進行彙總,建立完整且易於理解的攻擊時間表。

  • 1. 駭客開始偵察所能建立的攻擊路徑。

  • 2. 利用相關資訊暴力破解帳戶的密碼

  • 3. 一旦駭客將密碼到手,他可以登入不同的機器,橫向移動和搜尋先前登入到裝置的特殊權限帳戶

  • 4. 竊取特殊權限帳戶的 NTLM 雜湊或 Kerberos Ticket,並且在使用者不知情的狀控下代理使用者進行 Pass-the-Hash/Ticket 攻擊、橫向移動以及存取資料。

為了提高精確度、節省您的時間與資源,ATA 不僅會比較行為設定檔,也會將互動圖中類似角色設定檔進行比較。這意味著誤判數量將顯著減少,讓您能關注真正的威脅。ATA 是現今唯一能動態提示使用者輸入、自動調整、學習和檢測能力的使用者行為分析解決方案。

 

現在就試試吧

您可以開始評估 Microsoft Advanced Threat Analytics,請下載我們的公開預覽版。您也可以在論壇提出問題和回饋。