企业的IT是处在变革当中。而安全从来不是一个简单的问题。
十几年来,企业的资源、服务器、桌面都在一个固定的物理建筑物里,移动设备通过局域网或Wi-Fi连接,安全问题相对简单。随着数字化转型的深入,越来越多的企业在这些方面发力:不断契合、密切和客户的沟通,赋能员工,优化运营,改善、产品和服务,对信息技术提出越来越高的要求,技术则催生云计算时代并且加速发展,SaaS应用与日俱增,带来一流的移动体验,推动企业运用了物联网也更多地使用公有云和多云、大数据和人工智能等技术,边缘不断拓宽,安全压力越来越大。
安全话题始终都是非常严肃和重要的话题。微软全渠道事业部首席技术官(CTO)徐明强博士披露了微软在安全领域的策略、方法论、全球化布局以及实际应用成效。
微软安全管理跨越三大阶段
一直以来,人们都认为Linux天生比Windows要安全的多,以前Windows每年都会爆出大量的漏洞。但2003年Windows XP和Windows Server发布后,漏洞明显减少,以至于有热衷于Linux开发的人加盟微软,去探究微软的安全是怎么做的。
在那里,他找到了答案——微软自己定义了一套威胁模型建造的软件工程,即安全设计的生命周期管理(Security Design Life Cycle)的方法论,使得产品的安全性不断提高,同时安全管理水平也不断提升。
这个威胁模型首先把每一个边界标注清楚,包括节点、数据、应用进程的边界等等,之后显示所有这些不同的威胁存在的风险并进行量化,同时建立适当的缓解措施。
2010年之后,开始了移动和云计算的时代,数据分布在公有云、私有云以及移动设备上。这套方法论和模型得以拓展应用,开启了微软安全的第二个阶段。
从2108年开始,微软将安全升级到立体层面,除了保护云上数据,还继续解决IoT、移动设备、办公设备、云上服务器,把信息集成起来进行对策分析,化解钓鱼、勒索一类病毒的威胁。
看得出来,这一方法论在不同的阶段发挥着不同的作用。一开始是较为原始的个别应用,即OS和服务器安全性大大提升,第二阶段,相当于辩证唯物法的否定阶段,在确保本地安全运行的同时对数据中心、公有云环境运行的IoT等终端设备进行有效防护,第三阶段称得上是“否定之否定”,微软推出了很多类似Defender及零信任的解决方案,为客户提供全方位的立体防护。
1. STRIDE威胁模型及应用
微软建立的这个名为STRIDE的威胁模型有如下内容:
“S”是Spoofing,指身份假冒;“T”是Tampering,即篡改信息数据;“R”指Repudiation,即否认,把痕迹擦干净,表明自己没有来过;“I”指Information Disclosure信息泄露;“D”是Denial of Service,即拒绝服务,经常听到的DDoS攻击(分布式拒绝服务攻击)就是其中一个变种,“E”是Elevation of Privilege,即授权提升,盗取最高管理权限。
徐明强博士以自己当时参加设计的Windows HPC Server 2008为例对STRIDE威胁模型的功能进行介绍,披露了某些调度器存在的四五十个威胁,这些威胁被清楚地定义为权限的威胁、信息泄露的威胁,信息篡改、拒绝服务的威胁,并且把缓解步骤全部都进行了展示。
另外,微软的搜索工具Bing每个月要搜索180亿个网页。很多黑客在攻击之前,会先建一个钓鱼网站,模仿某个银行或者是公司的网站界面,欺骗用户登陆,盗走用户的账户密码。微软把所有这些网页进行扫描,通过机器学习研判哪些可能是钓鱼网站,做出标记,下次用户再点击链接的时候,首先访问SafeLink网站,在那里判断出用户是否点击了钓鱼网站,以及被钓鱼的威胁有多大,通过这样的分析真正保护客户。
这个模型在微软得到了广泛的应用——微软有一个信息安全审核部门,其成员分布在每一个产品组。如果他审核产品文档后认为安全不过关,会行使其独特的一票否决权——当时就连CEO鲍尔默都没有一票否决权的权利。这说明了微软对安全是非常重视的。当然,在通过威胁模型的审核后,产品离上市还有至少安全审计、自动测试等的流程。微软借助DevOps工具跟踪管理每一个产品的安全开发周期。
显然,一个优秀的系统要具备身份验证、保密性、可用性及授权以及完备性、不可否认性等功能。确保黑客留下的任何痕迹不可抹掉,成为让罪犯伏法的确凿证据。
2.覆盖全球的信息安全保护体系
作为排名财富百强的互联网龙头企业,微软的投资遍布全世界。
为了帮助企业客户和他们的客户能有最亲密接触——缩短信息的延迟、高质量传输的效果,微软公有云覆盖了60多个地域。表面上,这些区域经济较为发达,社会治安良好。实际上对应的黑客甚众。微软致力于为客户提供信息安全保护的同时,还遵从这些国家和地区的信息安全法规,并随时进行升级跟进,满足当地政府、行业、企业的安全认证要求。
目前,微软在全球已经有拥有100多个认证资质,在中国,微软也有非常多的证书,包括国标证书,Azure云和Office 365也都获得了等保三级的认证。
在微软自建的网络运营中心,目前有8500多名全栈安全员工,比两年前的3000多人翻了一番还多。这里除了完成各种测试,还对网络运行状况进行实时监控,每天处理和分析24万亿个安全信号,包括登录的信号、微软云服务的应用信号和终端设备的信号,为1亿多微软用户提供信息安全保护。
除了安全运营中心,微软还有一个数字犯罪部门。这个部门掌握着全球各种僵尸网络、各种病毒感染的机器的状况、数量以及被感染的IP地址信息,为当地的互联网服务提供商(ISP)和警方合作惩治信息安全违法行为、缉拿犯罪嫌疑人提供支持。
五年来,微软共投入了200亿美金用于网络安全研发与服务;2020年,在安全方面的营收达到了150亿美元,增速达到了45%。
3.全面而完善的安全战略架构
微软的安全战略架构,把从客户端、私有云端、公有云端、IoT、各种SaaS服务访问、身份访问以及安全运营中心获取的数据集合在一起,采取机器学习等技术手段,对分散在各处的各种各样的通信信息进行全方位的保护。
在Gartner和Forrester领导象限中的访问管理、云访问安全管理、企业信息归档、终端防护平台、统一终端管理工具等象限,微软都被列为第一。
高度重视并服务中小企业
中小企业一致是微软非常重视的的领域。由于他们的安全预算不够,技术能力也确实不足。再加上数字威胁比人们想象得更近、更多、更严重,每次最新的病毒出现后,总是中小企业先中招,损失也最大。以勒索病毒为例,勒索已经形成产业化、自动化,以前很多被勒索的中小企业求救于微软。另外,病毒的攻击面非常广泛,所有联网设备都有可能遭遇攻击,特别是在疫情发作期间,人们出行不便,更加依赖网络,移动设备管理带来的安全隐患更大。
微软的目标是提高整个环境的安全标准,中小企业到大型企业都不错过。当然,面向中小企业,微软将侧重安全系统的更加整合、管理的更加简化、成本的更加优惠。
联手合作伙伴,共建生态服务客户
谈到微软安全生态,徐明强博士表示,微软的合作伙伴可以为客户提供大量的服务,最重要的是帮助其提高安全意识,在此基础上建立全方位的、立体的防护体系。
借助一个叫做Cyber Accelerator Program的项目,合作伙伴可根据客户的现实情况及需求量身订作安全主题的workshop,介绍如何上云,各个端点,包括手机、电脑的防护,以及攻击防护、身份安全、多云安全、数据防泄露,还有敏感数据的治理、内部风险管控,统一综合管理,云原生SOC建设、防钓鱼、防勒索等内容丰富的课程,很受客户的欢迎。
微软的安全伙伴也分为若干类型,如安全的MSP,也有咨询类型,如埃森哲、普华永道、安永;按行业,有面向汽车行业的数据防泄露、医疗行业的隐私计算;其他终端防护,如安全事件的应急响应,勒索、挖矿的应对等,都有合作伙伴为共同的客户提供服务。
微软,一家值得信赖的信息安全防范管理供应商
安全是一个道高一尺,魔高一丈的游戏,看起来是一个无解的难题。现在的安全态势,从攻击链的同比增长,以及勒索事件频频发生,安全形势非常严峻。
从方法论、产品、技术、咨询、服务、生态、第三方评价等方面来看,微软真的是一家全面领先的供应商,真的值得你信任。
