數字威脅遠比想象更嚴峻,微軟現代化安全策略背後
受疫情影響,全球數字化轉型程式加快,越來越來的企業和個人開始採用遠端辦公、線上服務的方式滿足日常的工作、生活和學習需求。然而,數字技術是“一把雙刃劍”!
處於變革中的新IT時代
在5G、雲端計算、大資料、物聯網、移動裝置等助力下,人類可以全力擁抱萬物互聯新世界,體驗數字時代帶來的方便與快捷;但如果這些領先的技術和應用沒有納入安全管理範圍內,無疑給駭客或者別有用心之人送去 “開啟自家防盜門的鑰匙”,造成的損失和後果不可想象,這可能也是很多企業都在重視安全管理的最根本原因。
2020年5月,Cybersecurity Insiders釋出了一份報告,針對413個不同行業的CIO、ITC、CSO進行了調研。資料顯示,疫情前有63%的企業可以遠端辦公,但是遠端辦公的員工數不到1/4;現在75%的企業可以遠端辦公,但員工數已經超過了3/4。這說明,遠端辦公已真正成為“剛需”!但是,從安全的角度看,70%的企業沒有做好充分準備,面臨著檔案共享(檔案被偷)、網頁應用(網頁被攻擊),還有視訊會議被黑、惡意軟體、釣魚軟體,以及未經授權的訪問等風險。
為什麼傳統IT時代,安全防護問題看上去非常簡單,而數字化時代的安全問題反而越來越多?答案是:企業IT處在變革當中,安全問題也在不斷演化!
正如微軟全渠道事業部技術長(CTO)徐明強 博士 所言,企業安全無小事,安全問題從來都不簡單! 只不過,在傳統IT時代,企業的資源、伺服器、桌面都是在一個相對固定的物理機中,所以維護方式相對容易。之後,隨著企業數字化轉型的深入,企業想在多方面發力,全面提升運營效率,具體做法是:提升客戶體驗、賦能員工、最佳化運營以及改善自己的產品和服務。
只是,提高員工辦公效率,會產生很多SaaS應用,包括很多企業會以外包的形式,透過影子IT應用,獲得最好的移動體驗。同時,為了最佳化運營模式,也會透過物聯網的方式把更多的“物”連上了“網”,並且採用多雲技術來搭建企業網路。這時候,企業的邊界被最大化拓寬,企業的資源到底在哪裡,已經不是一兩句話能說清楚的事兒。
問題是,在企業IT飛速發展的二十多年時間裡,作為世界頂尖級公司的微軟,在做什麼?如何看待今天雲時代的變化?我們有必要先了解下微軟安全的前世今生!
微軟安全的前世今生
提到微軟安全,我們首先會想到Windows。最早,很多人認為Windows沒有Linux安全,後來Windows的安全問題越來越少了,微軟是怎麼做到的呢?
直到徐明強加入微軟後才瞭解到,Windows 每年的漏洞看似總比其他的作業系統多,是因為Windows的市場份額遠比其他作業系統大得多,是被駭客鎖定攻擊的主要物件。當然,Windows的安全問題變得越來越少了,也確實是自身產品能力不斷提升的結果。
具體而言,微軟安全的發展歷程大概分為三個階段:
第一階段,大概在2003年,微軟釋出了Windows XP和Windows Server,使用了新的安全威脅模型,使得產品安全問題再上新臺階,自然也少了很多漏洞問題。
第二階段,時間進入2010年,也是移動和云為先的時代,企業的資料被分佈在公有云、私有云、以及移動裝置上。於是,企業的安全策略也相應地擴充套件到IaaS服務、PaaS服務,以及SaaS服務上。
第三階段,截止到2018年,微軟發現只考慮IoT、移動裝置、辦公裝置、雲上伺服器解決方案,包括完善IaaS、SaaS、PaaS服務層面還不夠,無法應對現代化技術下的全方位、立體式攻擊。比如:當一個伺服器的資料丟了,同時某個人被釣魚郵件攻擊,兩者之間是否存在某種關係?如果基於立體模型去思考,就可以把所有資訊進行關聯,做到快速、精準地進行分析,找到問題點。
安全威脅模型STRIDE
至於,微軟早期的安全威脅模型到底是什麼?發揮了哪些關鍵作用?
“用來了解系統安全威脅,明確這些威脅到底有怎樣的風險,並建立適當緩解措施的流程。” 徐明強認為,安全問題要具體量化出來,不能眉毛鬍子一把抓,遇到問題要有具體的解決措施。
有一句話叫做“一張圖勝過千言萬語”,只有把系統和網路之間的問題畫出來,才能找到系統的弱點,更好地進行分析。以一個家庭為例,除了戶主,門裡面的床、保險櫃等都是安全資產,如果建立一個模型,就知道從門進入家裡,把資金放到保險櫃,再到床上休息,會有一個信任邊界,門外的世界不可信任,所以這個門要有把關。所以,一個優秀的系統,要具備身份驗證性、整個系統的完備性,以及不可否認性。
因為,駭客做的任何手腳,都會留下犯罪痕跡,如果系統缺少不可否認性,駭客進來後會把所有的蹤跡包括日誌都抹掉,導致我們找不到蹤跡。另外,保密性和可用性也很重要,有時候駭客不拿你的東西,但是攻擊你,讓服務無法被別人訪問,導致服務的可用性出現問題。最後一個關鍵點,是授權,什麼樣的人訪問什麼樣的資料,需要明確定義。
事實上,上述這些問題都可以根據STRIDE威脅模型進行分析。所謂STRIDE ,其實是全生命週期安全問題管理的組合。S,是Spoofing,指身份假冒;T,是Tampering,即篡改資訊資料;R,指Repudiation,即否認,把自己的痕跡擦乾淨,表明自己沒有來過;I,指Information Disclosure資訊洩露;D,是Denial of Service,即拒絕服務,我們經常聽到的DDoS攻擊(分散式拒絕服務攻擊)就是其中一個變種;E,是很可怕的Elevation of Privilege授權提升,比如一個賬號剛進來的時候沒有太多特權,於是他想升級,因為在他開啟你的保險箱拿東西的時候需要一個鑰匙,他必須升級後,獲得管理員許可權,拿到很多鑰匙。這時,很多的資訊、安全資產會面臨威脅。
以基於Windows構建的HPC Server2008為例,會透過排程器(Scheduler)分任務給不同節點,這是典型的分散式軟體架構,Hadoop、Kubernetes都是類似的架構。從一個阻截點控制訪問請求,然後把這些請求分佈到其他的節點上面去。期間,會有客戶端請求,需要指定的資料庫存放資訊和一些動態日誌等等。在模型構建的時候,需要把每個邊界畫清楚,包括節點的邊界,資料、應用程式的邊界等等,都要標註好,寫出來。
一旦遇到不可控的風險,STRIDE會透過排程器當機把Service停掉,這便是Denial of Service。當威脅非常多,有資訊洩露的威脅,有修改、篡改資訊的威脅,還有拒絕服務等,其中會有緩解的步驟 。
移動及雲端計算時代的全面安全
憑藉安全威脅模型STRIDE,微軟在本地的伺服器端,或者說在自己的私有云環境,已經做到絕對的安全。但是,面對移動及雲端計算時代,企業的應用環境越來越複雜,移動裝置變得越來越多,每個裝置上都可能會有不被信任的IT應用,安全防護問題如何應對?
微軟的做法是,建立更加全面的網路運營中心,做一個“勤商”。微軟非常看重全球各個地區的資訊保安合規問題,比如ISO 27001、中國的等級保護3.0以及建立可信雲等,微軟都會隨時跟進、定期更新。
除此之外,微軟自己建了一個網路運營中心,隨時監控各個地區的安全情況。微軟有8500多個全棧安全人員,而兩年前還是3000多個。可見,做安全這事,微軟是認真的,加大了安全投入。
當然,只是物理對抗,這種做法太低階了,微軟採用是數字化手段實現智慧化防護。微軟每天要採集24萬億個全球訊號,並且在五年時間裡投入了200億美金,用於網路安全建設。微軟保護了1億多使用者的安全,每天處理和分析24萬億個安全訊號,其中包括登入的訊號,別人使用微軟雲服務以及微軟終端裝置的訊號。
在中國,微軟智慧雲取得了諸多榮譽證書,特別是零信任等方法論推出以後,客戶可以獲得全方位的立體防護。所以,不管是Azure雲,還是Office 365,都是使用者深度信賴的應用,可以做到全方位、立體式防護。
企業安全防護,首先外圍堅固是第一位,要做到門窗隔離,有虛擬網路、VPN閘道器、網路安全元件等。但是,僅做到外圍堅固還不夠,還要有各種各樣的防火牆、DDoS攻擊的保護。同時,房子裡有比較重要的資產時,要設定保險櫃,包括要有移動監視器、日誌監控等,這是微軟重點強調的端到端的防護能力。尤其在雲環境下,企業既有公有云,也有私有云,如果管理的方法不一致,“喝一口水,挖一口井”,本地有本地的安全管理,雲上有云上的安全管理,不但加大安全管理難度,出現漏洞的機率也會增加。
所以,所謂的全方位安全,是指建立統一的架構,統一的終端以及全面的雲管理策略。具體的實施方案是,把客戶端、企業私有云端,還包括公有云端、IoT、Windows客戶端、Mac客戶端,以及各種SaaS服務的資料集合在一起,讓分散在各處的資訊、不規則的邊界得到最好的防護。另外,還要強調立體,把安全中心和機器學習等技術結合起來,透過安全通訊對資料進行全面的防護,避免企業在假陽性事件中浪費時間,錯過發現真正威脅的時機。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31547898/viewspace-2884796/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 調查:蘋果iOS遊戲盜版現象遠比想象嚴重蘋果iOS遊戲
- 為何蘋果不願全面開放NFC?問題遠比想象更嚴重蘋果
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 現代框架背後的概念框架
- 微軟蘋果Linux等作業系統遭受嚴重安全漏洞威脅微軟蘋果Linux作業系統
- 威脅預警|微軟最新遠端高危漏洞通告及防禦措施微軟
- Cyphort的平臺使高階威脅保護比以往更容易
- 一個比想象中更騷氣的圓-svg實現SVG
- SAP全球CEO柯睿安:數字化技術可將全球最嚴峻的挑戰轉化為最大的機遇
- 數字化轉型推進現代化智慧城市治理
- Couchbase:2025年數字現代化報告
- 關於數字貨幣交易平臺面臨的安全威脅
- 數字藏品火爆背後:平臺密集湧現 專家提醒風險
- 全球發電廠面臨威脅-源自西門子嚴重的遠端執行程式碼錯誤行程
- Cydia介面風格視覺更新 更扁平化更現代化視覺
- 美的數字化平臺 iBUILDING 背後的技術選型UI
- 工信部:非法“挖礦”嚴重威脅網際網路網路安全
- 網路安全威脅的新變化
- 英特爾已成微軟絆腳石 五大領域威脅微軟微軟
- 三維數字沙盤的現代化製作方案解析
- uTorrent 遭防毒軟體圍剿,Windows Defender視其為嚴重威脅防毒Windows
- 直擊RSAC 2022:從“轉型”看數字時代如何戰略化應用威脅情報
- 數字化轉型助推,200億後設資料治理市場空間充滿想象
- 應對網路威脅NGFW看得懂的安全更安全
- 雲端計算與虛擬化之後:網路威脅成新挑戰
- 美團事件背後,數字化智慧經營成實體商家發展關鍵!事件
- 現代化BI助力企業資料化運營,推動數字化轉型
- 遠控木馬“寄生”防火牆流竄,360安全大腦溯源復現威脅影像防火牆
- Intel驚現多個高危漏洞,數百萬PC伺服器受威脅Intel伺服器
- 教你如何防範遠端桌面協議(RDP)的安全威脅協議
- 什麼是網路安全威脅?常見威脅有哪些?
- Win7比XP更易受惡意軟體威脅Win7
- 歐盟不滿微軟未履行承諾 威脅日罰400萬美元微軟
- Mac 平臺威脅數量已超過 WindowsMacWindows
- WhatsApp進軍閱後即焚 將威脅SnapchatAPP
- Gartner:Linux後五年無法威脅Windows(轉)LinuxWindows
- 郵件安全威脅
- 威脅建模基礎