微軟總裁Brad Smith在本周四(11/2)揭露了微軟的未來安全倡議(Secure Future Initiative),指出將從3方面著手以推動一個安全的新世界,包括聚焦基於AI的安全防禦、強化基礎軟體工程,以及宣導更強大的國際規範,其中,前兩者將涉及微軟內部大規模的安全翻修。
Smith說,微軟內部在最近幾個月得出了結論,就是網路攻擊的速度、規模與複雜性不斷地提高,需要採取新的應對措施,以追求新一代的網路安全保護,未來安全倡議於焉誕生,並將匯整微軟的每個部分來達到該目標。
根據微軟的統計,過去兩年有40%國家級駭客的攻擊行動都鎖定了重大基礎設施,像是電網、供水系統或醫療機構等,這些領域的服務中斷可能帶來可怕的後果;而微軟所追蹤的123個勒索軟體即服務的聯盟夥伴,自去年9月以來的攻擊次數增加了200%以上,此外,有超過8成的成功攻擊是來自於未列管的裝置。
微軟安全未來倡議其中一個重要支柱是人工智慧(AI),認為AI將徹底顛覆網路安全的傳統遊戲規則。這是因為無所不在的裝置與持續的連網狀態建立了大量的數位資料,而更難以偵測網路攻擊,微軟光是1天內就能自全球的裝置接收超過65兆個訊號,就算地球上的80億人口都能一起尋找網路攻擊的證據,可能也永遠跟不上攻擊行動,然而,AI卻能扮演大海撈針的角色。
此外,微軟也打算利用AI的機器運算速度來擊敗網路攻擊。目前最大的網路安全挑戰之一為缺乏資安專業人才,全球短缺了逾300萬的相關人才;同時攻擊的速度、規模與複雜性造就了不對稱性,令組織難以大規模地預防或破壞攻擊。因此,微軟的Security Copilot整合了大型語言模型及安全模型,可自複雜資料生成自然語言的見解與建議,以機器的速度來防範攻擊。
對於那些經常成為駭客入口的未列管裝置,則可藉由嵌入AI檢測能力的Microsoft Defender for Endpoint 進行管理,第一時間攔截來自手機、筆電或伺服器的入侵企圖。
Microsoft Security執行副總裁Charlie Bell則詳細說明了微軟內部軟體工程的相關變更,包括軟體開發的轉型,採用新的身分保護,以及加快漏洞回應速度。
Bell表示,微軟將藉由自動化與AI改變軟體的開發方式,將安全開發生命周期(SDL)變成動態SDL(dSDL),於撰寫程式、測試、部署及運作的過程中,把持續整合與持續發布(CI/CD)擴展至持續整合保護以對抗新興的威脅。
同時微軟亦將加速及自動化威脅建模,把執行程式碼分析的CodeQL部署到所有的商用產品中,並擴大使用諸如C#、Python、Java與Rust的記憶體安全語言,在程式語言層級便建置安全性以消除常見的傳統軟體漏洞。
此外,微軟將提供更安全的預設值,計畫自動導入Azure租戶的基準安全控制,既可減少手動配置成本,也提高了安全標準;並將建立一個跨裝置、產品及服務的統一身分管理平臺,以減少用戶身分被冒用的機會,並將強制使用標準的身分函式庫;亦準備把身分簽章金鑰移至更強固的Azure HSM(硬體安全模組)與運算基礎設施上,在此一架構中,簽章金鑰不管是在靜態、傳輸或運算過程中都是加密的,並自動允許高頻率的金鑰替換。
在上述強化安全的措施下,微軟預期未來緩解雲端漏洞的所需時間將可縮短50%。
微軟未來安全倡議的最後一個支架是國際規範。其實微軟在2017年就曾呼籲全球應制定數位日內瓦公約(Digital Geneva Convention),以規範網路空間的行為準則。這次Smith重申,所有國家都應該公開承諾,不會在能源、水、食品及醫療保健等關鍵基礎設施供應商的網路上植入軟體漏洞,並應將雲端服務視為重大基礎設施。
Smith指出,各國都不應允許境內任何人,從事可能會危及雲端服務安全性、完整性或機密性的網路活動;也不應為了間諜活動而不分青紅皂白地損害雲端服務的安全性。
熱門新聞
2024-11-04
2024-11-02
2024-11-04
2024-11-04
2024-11-01
2024-11-04