2012年3月22日,在有着200多位政府官员、学者、安全专家和软件开发人员齐聚一堂的盛会上,微软可信赖计算部门总经理John Lambert鼓励中国软件公司采用业界领先的开发工具和实践来提高产品安全性,增强在全球市场的竞争力。
微软可信赖计算部总经理John Lambert
2012信息安全论坛和科技展由中国计算机学会计算机安全专业委员会和微软公司联合主办,大会内容包括主题演讲、圆桌讨论和安全增强技术的现场演示。
Lambert在主题演讲中重点谈到了中国的具体安全趋势,强调软件开发人员迫切需要利用能够实现深度防御的安全缓解技术。根据Net Applications的数据,现在中国有几乎24%的互联网用户正在使用IE 6,占全球IE 6用户的半数以上。
此外,这些计算机中的大多数在运行Windows XP或更早的平台。Lambert强调,这个统计数据令人担忧,因为根据Microsoft安全报告第11卷的报告,Windows XP Service Pack 3感染恶意软件的可能性比Windows 7高六倍。
为帮助IT专业人员和软件开发人员利用安全科技资源和最佳实践领域的最新创新成果,微软演示了在此次活动中展示的四个安全开发工具:
· 增强的缓解体验工具包(EMET) – 帮助用户缓解像零日威胁这类没有安全更新的威胁;
· 攻击面分析器(Attack Surface Analyzer) – 这一工具可在安装产品前后获取系统状态的快照,显示对 Windows攻击面若干关键因素的更改;
· 威胁建模工具(Threat Modeling Tool) – 帮助工程师分析系统威胁,在软件生命周期的早期发现并解决设计问题;
· BinScope工具 – 验证是否正确使用了安全缓解技术,如ASLR或DEP。
这些工具免费向公众提供,微软定期在其安全开发生命周期(SDL)的各个不同阶段使用它们。SDL是一种安全的软件开发方法,可编写能最大程度减小软件和服务中漏洞的数量、严重性和可攻击性的代码。在此次活动中,包括淘宝、奇虎360和翰海源在内的中国本地公司分享了利用这些工具的部分成功经验。
Lambert重点介绍微软SDL对其产品和服务的影响,分享了最近的一项研究。该研究显示,对比过去18个月内所有微软软件的最新版本与所有受支持的上一版本,微软产品中的漏洞可攻击性总体下降了30%以上。
在中国,随着安全界使用免费安全缓解技术和工具的意识日益增强,提高软件安全质量也将势在必行。 这样可以培育更安全的全球计算生态系统,帮助保护世界上最大软件市场上的Windows和Internet Explorer用户。
微软可信赖计算部门旗下的安全工程中心(MSEC)在Lambert的领导下从事安全科技工作。安全科技的用途是识别新出现的安全漏洞和威胁类别,针对这些新类别进行主动防御开发。 微软使用安全科技开发先进的工具和技术,使攻击软件难于成功。
“本地安全公司、软件公司和搜索服务提供商都在竞争中国市场,在这些公司中,很多在运行各种版本的 Windows操作系统、IE和其它基于Trident的浏览器。”Lambert说,“我们对这个市场的安全科技进行了分析,分析结果是,这些供应商中很多仍然没有利用Windows内置的安全缓解技术,如地址空间随机化(ASLR)和数据执行保护(DEP)。”
Lambert在演讲的最后,向用户和IT专业人员提供了具体的指导,帮助他们获得保护,防范攻击。他鼓励用户使用新产品,让他们的系统及时安装最新的安全更新,使用来源可靠的反恶意软件。微软还鼓励IT专业人员思考一下,他们正在使用或考虑使用的软件是否执行了类似SDL的安全流程来尽量减少软件漏洞,以及是否采用了攻击缓解技术。