圖片來源: 

洪政偉攝

積極擁抱雲端的微軟,在眾多業者中,對其產品服務安全性的重視程度,算是數一數二,因為他們遭受駭客攻擊的次數,可是僅次於美國國防部。關於微軟如何建構安全的環境,全球資安技術長Diana Kelly,在臺舉行的2018年度微軟資安大會上,全球資安技術長Diana Kelly,現場說明了自家產品與服務的安全策略。

面對雲端服務、行動應用等環境變化,以及各式癱瘓企業基礎架構的網路攻擊,加上嚴格的法規遵循等,現在我們面對的資安問題,已經不同於以往。

對於現今網路環境的挑戰,Diana Kelly指出了4個趨勢,同時也說明了必要的防護策略。她指出,在身分識別方面的攻擊,今年成長了3倍,因此做好驗證與存取管控,相當重要;再者,企業資料仍是最吸引攻擊者的目標,要能隨時隨地做到保護;第三,鑑於高達96%的惡意軟體是自動變種,防護上,要更快檢測攻擊並自動響應;最後,是安全工具太多,使用不易,因為他們收到多數企業回報,內部使用了超過60個安全解決方案,所以他們認為,要有工具能夠整合安全調查,並提供具體因應方針。

 萬物聯網的時代,資安成為企業關注焦點,微軟全球資安技術長Diana Kelly從數位轉型與全球威脅情況談起,說明現在企業需要面臨的挑戰與防護策略。(攝影/羅正漢)

而從網路威脅現況來看,在微軟最新的安全情報報告(第23回)中,說明了前三大威脅是殭屍網路、社交郵件與勒索軟體。

因應上述威脅態勢,Diana Kelly也藉此提到了微軟本身的資安能量,例如,關於殭屍網路的威脅,微軟去年底收集了44,000個樣本,從中分析Gamarue殭屍網路的生態系,發現該殭屍病毒在全球擁有1214個C&C伺服器,並建立了464個不同的殭屍網路,涉及逾80個惡意程式家族,因此,他們去年底積極與歐美政府執法機構合作,摧毀了主導Gamarue殭屍網路的成員與建立的基礎架構。

關於微軟在資安方面的能量,Diana Kelly表示,微軟安全研究人員從44,000個樣本分析Gamarue殭屍網路的生態系,發現它發展出464個殭屍網路,在全球共有1214個C&C伺服器,他們去年底便與全球多國執法單位合作,共同瓦解Gamarue殭屍網路的危害。(攝影/羅正漢)

關於勒索軟體方面,在企業關注的WannaCry與Petya之外,她指出,去年底還有一個名為Bad Rabbit的勒索軟體,也造成不小的危害,不過,這個威脅在40分鐘內,就被他們發現並阻擋,而這主要是利用Windows Defender防毒使用分層機器學習的防禦方式。當然,她也提到今年的勒索軟體威脅有降低的趨勢,取而代之的是惡意挖礦的攻擊。

雲端服務安全聚焦四大重點:身分識別與存取管理、資料保護、威脅防護與安全性管理

對於微軟服務體系的安全,是如何建構而成,簡單來說,可以分成三個層面:情報、平臺與合作伙伴。Diana Kelly也逐一解釋這三個層面與微軟服務間的關聯。她並指出,微軟在安全上的作法,不僅是保護微軟本身的資料安全,並要將安全建構在他們所提供的產品與服務,才能更進一步協助企業用戶保護其資料、系統與設備。

首先,在情報能力上,透過微軟本身服務的廣泛性,彙整全球Windows裝置、電子郵件、認證、網址的威脅情資。而對於如何應用情報,以保護資料安全,單靠事前、事中的防護也不足夠,他們同時也強調了偵測和回應的配合。

而為了協助企業資料保護與風險管控,微軟也是不斷強化整體雲端平臺的安全性,產品及服務內建的資安防護功能,就是重點。Diana Kelly指出,主要可以畫分成4大面向,分別是身分識別與存取管理、資料保護、威脅防護與安全性管理。

因此,關於這些防護面向,微軟也已經提供各式功能與機制,幫助企業用戶,做到更好的安全管控。

微軟全球資安技術長Diana Kelly表示,要將安全建構在他們所提供的產品與服務,主要側重在4大面向,包含身分識別與存取管理、資料保護、威脅防護與安全性管理,因此,微軟也在這些面向提供多種功能與機制。例如,在身分識別與存取管理方面,包括Windows Credential Grard、Azure Active Directory,以及Windows Hello與條件式存取等。

不過,Diana Kelly也坦承,網路安全是一個很難的題目,因此在微軟的產品服務上,也結合了各式各樣的合作夥伴,以強化平臺安全性。

舉例來說,上述的4大安全面向,其實都有對應的資安業者,為企業帶來更多幫助。像是在身分識別與存取管理有RSA、Trusona等,為企業提供不同身分認證技術,在威脅保護機制上,可以結合像是Check Point、Lookout等資安業者提供的安全防護,在安全性管理的面向,也有Splunk、QRadar、Palo Alto等產品,能與微軟建構的平臺進一步整合。

在安全性上,對於微軟提供的產品與服務,除了仰賴自家的情報能力,以及微軟自己在平臺上內建的安全防護,他們也藉助了合作夥伴的力量,從三個層面建構安全體系。

整體而言,對於微軟本身的安全防護,他們強調透過人工智慧、機器學習,以及在產品及服務中內建資安防護,加上合作夥伴,以提供更全面的資安防護。

不過,若與過去微軟所提供的技術相比,現今內建安全防護到底存在那些差異?Diana Kelly則表示,主要關鍵在於,微軟近年開始投入大量的研發資源,在安全相關專案,每年超過10億美元,此外,他們兩年前也成立了一個團隊,名為Cyber Security Solution Group,能協助他們在現行的安全架構下,提供更具體的資安策略與規畫。

此外,關於產品服務的安全問題,我們也注意到微軟本身也有推出漏洞發現獎勵計畫,我們借此機會詢問Diana Kelly,她表示,目前針對各個不同的微軟服務項目,約有10個左右的獎勵計畫。期望藉各界之力,讓微軟產品服務的漏洞,能早期發現並回報給他們,得以即時修補,他們也會提供獎金作為回報,期望促進正向循環。

當中,她不僅舉出了Windows相關獎勵計畫,特別的是,她還提到了微軟身分驗證的專案,以及關於推測性執行旁路獎勵(Speculative Execution Side Channel Bounty)的專案等,顯然,這就是他們近一年在安全漏洞上所關注的焦點。

微軟近年持續公告新的漏洞發現獎勵計畫,其中最新的兩個專案是關於微軟身分驗證,以及推測性執行旁路的計畫。


Advertisement

更多 iThome相關內容