2016年10月1日 星期六

何謂Enterprise Mobility +Security(EMS)?

      隨著科技的進步,工作已經不再像以前那樣只侷限在小小的辦公桌前,而是可以隨時隨地,透過個人的裝置存取公司資源來完成工作。員工攜帶個人裝置進入公司網路,這就是所謂的BYOD(Bring Your Own Device),然而,員工透過裝置存取公司的資料真的安全嗎?會不會有機密文件外洩的疑慮呢?這對IT人員實在是一大挑戰,如何管理BYOD?如何防止公司內部員工外洩公司資料? 用下面這張圖來解說如何管理BYOD。




      面臨這樣的挑戰,IT人員該如何解決?滿足使用者的需求並同時保護資料呢?微軟推出了Enterprise Mobility + Security(EMS),什麼是EMS呢?EMS是企業行動化解決方案,可以最佳化應用程式基礎架構、提供整合的管理模式、也可以支援最新資訊安全技術和存取模式。讓我們來看一下整個EMS的架構圖吧!





從上方的架構圖來看,EMS主要有四個產品相應組合,現在一一來介紹:

1.Azure Active Directory Premium:提供完整的雲端身分驗證與存取管理:
  • 多因素驗證(Multi-Factor Authentication): 
當我們登入應用程式的時候,需要輸入帳號密碼,多因素驗證就是除了帳號密碼以外,           多了一道驗證的手續,像是透過手機驗證或是簡訊驗證,加強了安全性。

  • 單一登入(Single-Sign-On) :
將Azure Active Directory與SaaS應用程式整合在一起,由於使用者使用許多不同的密碼來登入應用程式,對於管理者來管理帳號與存取權限是個挑戰,透過單一登入來管理多個應用程式及為使用者提供登入的一致性。


  • 自助式服務使用者密碼重設(Self-Service Portal) :
可降低企業成本,減少IT的負擔,舉例來說:企業內部員工忘記密碼,不須透過大量時間在重設密碼上,透過自助式密碼重設使用者或管理員自動重設,大大省去時間及人力資源。


  • 安全性稽核報告(Reporting Service) :
可協助客戶識別其 Azure Active Directory 中發生的特殊權限動作。舉例來說:某個帳號多次失敗登入的次數、同一個帳號從多個地理位置登入、從可能受感染的裝置登入等。





2.Micorsoft Intune:行動裝置與應用程式整合管理系統:

      Intune與Azure Active Directory緊密整合進行身分識別和存取控制,並與Azure Rights Management緊密整合來保護資料安全。 Intune提供的主要工具有:

  • 行動裝置管理(MDM):將員工的裝置在Intune中註冊,讓管理者可以在這些裝置上進行佈建、設定、監視和採取行動。舉例來說,如果使用者的裝置遺失,上面有公司機密資料,這時候管理者可遠端將這些資料抹除掉。 

  • 行動應用程式管理(MAM):管理者針對使用者發行、推送、設定、保護、監視和更新行動應用程式。舉例來說,IT 透過限制使用者行為,像是複製/剪下/貼上/儲存等,以防止企業機敏資料外洩。 

  • 行動應用程式安全性:管理行動應用程式。舉例來說,員工依據自己的職責下載工作所需的企業App,當員工日後如果離職,管理者能在後台將裝置中與公司相關的App與資料刪除。

Microsoft Intune登入畫面:




Microsoft Intune Dashboard:



Microsoft Intune MDM畫面:



Microsoft Intune MAM畫面:
※不同於其他 Intune 原則,不會直接部署行動應用程式管理原則。 換句話說是將原則與想要限制的應用程式相關聯。 當應用程式部署並安裝在裝置上時,指定的設定才會生效。應用程式必須加入 Microsoft Intune 應用程式 SDK,才能將限制套用至該應用程式。




3.Microsoft Azure Rights Management:
      使用Azure當作信任平台來保護行動資料,針對個別檔案/郵件加密,在檔案上給予權限,無論檔案如何流通,在開啟檔案時,會驗證身分,只有有權限的人才能開啟/編輯/列印,防止企業內部機密文件外洩。現在來看看Azure Rights Management的功能:

Step1:將機密文件加密




Step2:加密過後的檔案到其他電腦開啟,會沒有權限可以開啟




4.Advanced Threat Analysis(ATA):
      為內部部署平台,ATA會自動分析、學習和辨識正常及非正常的實體(使用者、裝置和資源)行為,協助保護企業,避免遭受進階的鎖定目標攻擊。舉例來說:ATA類似我們日常生活中,信用卡刷卡記錄每個消費者使用行為,當突然有一筆不是此使用者平常的刷卡行為,則銀行會以電話確認是否為本人消費,ATA會去學習每個使用者的登入行為,當有異常時,能夠去分析帳號是否被盜用。

  • 自動分析:蒐集,分析所有Active Directory、SIEM相關記錄。 
  • 主動學習:利用機器學習技術,自主學習所有使用行為。 
  • 即時偵測:將異常行為、惡意攻擊以及系統弱點繪製成資安組織圖,並以動態時報顯示時間、位置與方式。 
  • 判讀機制:資安風險、惡意攻擊、不尋常行為。

①駭客開始偵察所能建立的攻擊路徑:


圖片來源: https://blogs.technet.microsoft.com/twsecurity/2015/06/10/microsoft-ata-advanced-threat-analytics/


②利用相關資訊暴力破解帳戶的密碼:


圖片來源: https://blogs.technet.microsoft.com/twsecurity/2015/06/10/microsoft-ata-advanced-threat-analytics/


③一旦駭客將密碼到手,他可以登入不同的機器,橫向移動和搜尋先前登入到裝置的特殊權限帳戶:

圖片來源:https://blogs.technet.microsoft.com/twsecurity/2015/06/10/microsoft-ata-advanced-threat-analytics/


④竊取特殊權限帳戶的NTLM雜湊或Kerberos Ticket,並且在使用者不知情的狀況下代理使用者進行Pass-the-Hash/Ticket攻擊、橫向移動以及存取資料:

沒有留言:

張貼留言