從左到右:李亮(主持人)、張美波、蔣濤、韋青
掃描上方二維碼直達(dá)精彩回顧
全球數(shù)字化轉(zhuǎn)型浪潮不斷推進(jìn)下,企業(yè)上云步伐加快,在這個過程中不少企業(yè)發(fā)現(xiàn),隨著 IT 基礎(chǔ)設(shè)施逐漸云化,云改變企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu),安全也隨之往云化,傳統(tǒng)安全架構(gòu)不再適用于云上。
伴隨AI、云計算等前沿技術(shù)的發(fā)展,外部安全攻擊趨于智能化、復(fù)雜化、規(guī)模化,云上防護(hù)的方式變得更多元化、復(fù)雜化,部署強(qiáng)大的安全架構(gòu)是企業(yè)迫在眉睫的事。那么在具體實現(xiàn)時,企業(yè)如何加強(qiáng)自身的云安全防御架構(gòu)?
8 月 11 日,由 CSDN、微軟聯(lián)合重磅打造,致力于用「用技術(shù)驅(qū)動商業(yè)變革」的《刷新 CTO》第五期,圍繞《重新定義云時代企業(yè)安全,你 Get 到了嗎?》為話題,首次走近微軟數(shù)字安全中心,盛邀 CSDN 創(chuàng)始人&董事長、極客幫創(chuàng)投創(chuàng)始合伙人蔣濤,微軟(中國) 首席技術(shù)官韋青,微軟企業(yè)服務(wù)大中華區(qū) Cybersecurity 首席架構(gòu)師張美波,在微軟大中華區(qū) Microsoft 365 高級產(chǎn)品市場經(jīng)理李亮的支持下,共同探討云時代下,企業(yè)如何搭建安全防護(hù)?
點(diǎn)擊視頻觀看精彩瞬間:(文末將有小視頻揭曉神秘的微軟數(shù)字安全中心哦~)
重點(diǎn)速覽
- 傳統(tǒng)安全基于“確定性”,知道敵人是誰,清楚敵人可能從哪個門進(jìn)來,我們提前將這個門修好,城墻加固。如今進(jìn)入云時代,確定性的系統(tǒng)安全變成一個偽命題,我們進(jìn)入了一個“確定性終結(jié)”的時代。
- 我們往往在軟件的部署階段才去評估其安全性,這并不是最優(yōu)的。“安全左移”后,應(yīng)從軟件開始規(guī)劃、設(shè)計、構(gòu)建階段時就該考慮其安全問題。
- 需將安全、可信和可控分開,廠商通過不斷打怪來提高自己的能力,可信與可控則需要更高層的法律與制度來約束。
- 企業(yè)進(jìn)行架構(gòu)轉(zhuǎn)型時,對應(yīng)的安全架構(gòu)也將轉(zhuǎn)型,安全是任何技術(shù)的基礎(chǔ)。即使技術(shù)做得再好,如果沒有安全的話系統(tǒng)像建在沙灘上的城堡,隨時可能會倒。
- 微軟這樣描述自己的軟件開發(fā)生命周期:從第一行代碼開始我們考慮安全的設(shè)計。
- 安全是整個社會或者雙方責(zé)任,是共享責(zé)任。
- 每個人是“安全上下文語意條件下的一分子”,每個人可以為安全做貢獻(xiàn),同時還可能是一個漏洞。
- 作為管理者關(guān)心的問題:第一有沒有安全等級標(biāo)準(zhǔn),第二有沒有不同的安全技術(shù)方案選擇。
- 安全是微軟的核心戰(zhàn)略方向,微軟 CEO 薩提亞·納德拉曾表示,我們承諾給客戶提供安全和隱私。
- 每個公司應(yīng)結(jié)交一位安全界朋友,一是讓對方幫忙監(jiān)測企業(yè)系統(tǒng);二是萬一企業(yè)出現(xiàn)安全事故后,可請安全專家解決。
云安全區(qū)別傳統(tǒng)安全
沒有邊界限定
李亮(主持人):如今我們談的“安全”與 5~8 年前的“安全”有很大差別,在您看來現(xiàn)代安全和傳統(tǒng)安全有什么區(qū)別?
韋青
韋 青:微軟在 Windows 時代,安全就是核心話題,但那個時代的安全,是具備一定確定性的,也就是說我們還是大致知道“敵人”是誰,安全威脅可能會從哪個門進(jìn)來,我們先把這個門修好或城墻加固。
如今進(jìn)入云原生時代,我把它稱為“確定性的終結(jié)”。安全的領(lǐng)域,變得越來越復(fù)雜,需要我們改變思路,以“復(fù)雜系統(tǒng)論”的角度重新審視安全的定義和相關(guān)的策略。
其實我們現(xiàn)在所處的時代主旋律就是不確定性,是復(fù)雜的、混沌的,系統(tǒng)中各個元素以及系統(tǒng)與系統(tǒng)之間不斷融合、涌現(xiàn),其本質(zhì)就是“不確定的”。這種不確定性,也表現(xiàn)在其他領(lǐng)域,比如物理領(lǐng)域從“確定的”牛頓物理進(jìn)入介于“確定與不確定”之間的量子物理,產(chǎn)品開發(fā)從“固定的”瀑布式開發(fā)進(jìn)入“動態(tài)迭代”的敏捷式開發(fā),人工智能領(lǐng)域從符號主義進(jìn)入聯(lián)結(jié)主義,也就是從認(rèn)為世界現(xiàn)象是可預(yù)判的“還原論”進(jìn)入認(rèn)為世界現(xiàn)象是復(fù)雜的“整體系統(tǒng)論”。因此,在這個萬物互聯(lián)的時代,當(dāng)有人在不加前提約束的條件下簡單問“你的系統(tǒng)安全否?”就變成一個偽命題。在這樣一個復(fù)雜的動態(tài)環(huán)境下,對系統(tǒng)安全的定義必須基于“零信任”,也就是先預(yù)判肯定會有問題,隨時會動態(tài)、隨機(jī)地出現(xiàn)新的威脅和漏洞,一個系統(tǒng)的安全能力需要表現(xiàn)為能夠隨時、高效地應(yīng)對“不確定”安全威脅的能力,而不是死板的預(yù)先設(shè)定能夠防衛(wèi)哪種威脅。
微軟有一個說法“Azure as the world’s computer”,Azure實際就是一個管理遍布全球電腦的操作系統(tǒng),集數(shù)據(jù)的采集、傳輸、存儲、計算、應(yīng)用、展現(xiàn)、通訊和交互于一體。這么龐大復(fù)雜的架構(gòu),使我們根本不能簡單依靠人的經(jīng)驗預(yù)判哪里會有“敵人”入侵,只能憑靈活多變、實時的反應(yīng)機(jī)制,并且基于大數(shù)據(jù)的機(jī)器學(xué)習(xí)能力,建立起一個安全、合規(guī)的基礎(chǔ)架構(gòu)。所謂的“確定性”沒有了,我們不是要預(yù)先搭建一個“固若金湯”的系統(tǒng),而是在零信任基礎(chǔ)上,不斷地搭建一些技術(shù)來保證動態(tài)反應(yīng),系統(tǒng)可隨時應(yīng)對外界的安全變化。
企業(yè)安全挑戰(zhàn)
蔣濤
蔣濤:隨著網(wǎng)絡(luò)邊界和企業(yè)業(yè)務(wù)的滲透,企業(yè)在數(shù)字化后將會發(fā)現(xiàn)安全有可能存在巨大的潛在風(fēng)險和問題。
一是企業(yè)代碼擁有不同的開源庫,開源庫里本身可能存在安全隱患,二是程序員或第三方開發(fā)商開發(fā)的代碼,大部分公司沒有一套安全檢測手段來做安全檢查,很多企業(yè)的安全監(jiān)測尚處于初級的階段。
兩位微軟安全專家曾撰寫過書籍《編寫安全的代碼》,通過大量的實例和代碼,詳細(xì)地分析說明了編寫安全應(yīng)用程序的方方面面,提供許多實用技術(shù)內(nèi)幕。
從這我們看到,程序員需經(jīng)過基礎(chǔ)培訓(xùn)從而來寫出安全代碼。但在現(xiàn)實中,近乎 99.9%的程序員沒經(jīng)歷過安全代碼的培訓(xùn),公司也沒有配備上線前的安全檢測,甚至大部分企業(yè)沒有配置專門的安全工程師。這些公司基本處于完全不設(shè)防的狀態(tài),這是件非?膳碌氖虑。
企業(yè)往往在遇到安全問題后才想到防范,這跟人生了病才會去看醫(yī)生一樣,平常讓他注重健康,他便不以為然。
現(xiàn)在大多數(shù)人停留在點(diǎn)上:代碼是否安全、數(shù)據(jù)是否安全、帳戶是否安全。但安全是“系統(tǒng)”工作,如果有一個地方有漏洞,其他的沒什么價值。
從企業(yè)的角度上,他們面對這樣的變化需要在思維上做怎樣的轉(zhuǎn)變?
蔣 濤:企業(yè)需要做一些安全培訓(xùn)課程。開發(fā)者寫安全代碼是基礎(chǔ)部分,同時將安全工具化作為上線的第一層檢測,每個公司需要做代碼靜態(tài)分析。其次,幫助業(yè)務(wù)和運(yùn)營人員建立基礎(chǔ)安全知識,大部分老板沒有這種意識。
張美波:蔣老師說的是“安全左移”,為什么稱為“左移”?軟件有規(guī)劃、設(shè)計、構(gòu)建、測試、部署階段,但往往在軟件的部署階段,我們再去評估安全性,這是非常不好的。如今我們想從開始規(guī)劃、設(shè)計、構(gòu)建、階段時就該考慮安全性。
云時代下
技術(shù)架構(gòu)安全挑戰(zhàn)
張美波
云時代下,從整體技術(shù)架構(gòu)上現(xiàn)在遇到哪些問題?
張美波:從兩個維度來看:一是企業(yè)在數(shù)字化轉(zhuǎn)型中基礎(chǔ)技術(shù)架構(gòu)變化;二是目前面臨的安全威脅和攻擊行為的變化。
在企業(yè)數(shù)字化轉(zhuǎn)型后,原來企業(yè)以網(wǎng)絡(luò)為邊界,如今隨著企業(yè)規(guī)模越來越大,網(wǎng)絡(luò)架構(gòu)越來越復(fù)雜,隨著移動互聯(lián)的發(fā)展,企業(yè)邊界已逐漸變大。再加上云計算,企業(yè)的數(shù)據(jù)和應(yīng)用已慢慢地移出網(wǎng)絡(luò)邊界,進(jìn)入到 Internet 上。假如這個企業(yè)是做物聯(lián)網(wǎng)的,那基本就沒有邊界了。
所以就會遇到這樣的問題:原來是依賴于網(wǎng)絡(luò)為邊界,分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),普遍認(rèn)為內(nèi)部網(wǎng)絡(luò)是可信的。如今由于邊界模糊了,不能再把網(wǎng)絡(luò)作為安全邊界,零信任架構(gòu)應(yīng)運(yùn)而生。
零信任架構(gòu)的核心是把防控策略下沉,從原來以網(wǎng)絡(luò)為邊界、到現(xiàn)在以用戶身份驗證憑據(jù)為邊界,下圖是微軟的零信任架構(gòu)圖,首先是身份驗證,還有利用網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、基礎(chǔ)架構(gòu)等六個核心的資源組進(jìn)行不同的防控。
企業(yè)上云
到底安不安全?
李亮(主持人)
李亮(主持人):現(xiàn)在一些企業(yè)固有的傳統(tǒng)觀念里認(rèn)為上云后不安全,內(nèi)心不免有些抵觸,關(guān)于云和自建平臺誰更安全的問題,您怎么看?
蔣濤:大部分公司沒有安全系統(tǒng),即使采購安全系統(tǒng)也是小量。而每一家云公司肯定是被攻擊最厲害的,從云系統(tǒng)來看,他們是安全的。
隨著國家對數(shù)據(jù)、系統(tǒng)安全的要求越來越嚴(yán)格,肯定是上云后將更安全。把數(shù)據(jù)放在自建平臺就好比放在家里,你以為屋子沒有漏洞,但對專業(yè)選手來說全部都是破洞,可能對他來說,就是沒有圍墻的院子可隨便來逛。
張美波:這也可以用“錢分別放在銀行和家里”來做比喻。從專業(yè)性上看,云廠商的安全加固措施、安全防護(hù)措施會更加完善,只是我們擔(dān)心數(shù)據(jù)會不會被它拿走,而微軟云強(qiáng)調(diào)透明性、隱私保護(hù)和安全性。
在云計算時代,安全廠商、云計算廠商和客戶是共享責(zé)任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務(wù),但并不意味著企業(yè)和客戶把相應(yīng)的安全責(zé)任轉(zhuǎn)移給云廠商。云廠商更多的是提供技術(shù)層面的武器,但是如何利用好這技術(shù),這是企業(yè)的責(zé)任,需從企業(yè)安全架構(gòu)層面、從安全實現(xiàn)技術(shù)路線上來做分析。
韋青:我們要把安全與可信和可控分開來看。如果純粹從安全,從 Safety、Security 來講的話,像剛才蔣老師說的,一定是云計算公司較安全。這和游戲升級打怪一樣,打了幾百億的“怪”生存下來的人,肯定是最厲害的人。
但是否可信?這不只是技術(shù)問題,而是由法律、法規(guī)來決定,可控也是由法律、法規(guī)來決定。
我們需將安全、可信和可控分開,廠商做廠商的事,我們廠商不斷通過打怪來提高自己的能力,可信則需要更高層的法律制度來約束。
以前大家習(xí)慣購買一個產(chǎn)品,現(xiàn)在買產(chǎn)品形式的越來越少,而是購買服務(wù)。一旦采購的是服務(wù),本身使用服務(wù)的人就是產(chǎn)品的一部分了,兩者的概念不一樣。
張美波:我們企業(yè)從底層轉(zhuǎn)型時,對應(yīng)的安全架構(gòu)也在轉(zhuǎn)型,安全是任何技術(shù)的基礎(chǔ)。即使技術(shù)做得再好,如果沒有安全的話,系統(tǒng)像建在沙灘上的城堡,隨時可能會倒。很多企業(yè)沒有這個意識,一般想的是眼前解決業(yè)務(wù)問題。
一般企業(yè)IT需關(guān)注三個方面:安全、用戶體驗和功能,要做到三者平衡很難,通常只能平衡兩個。說得難聽點(diǎn),安全是 cost,并不會帶來實際的收入。
安全是微軟的社會責(zé)任
張美波:之前 Windows XP 被攻擊很多,2002年,比爾·蓋茨建立了可信計算,從那時起微軟所有產(chǎn)品是按照 SDL(Security Development Lifecycle,軟件安全開發(fā)周期)流程來構(gòu)建,SDL 是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的管理模式。
微軟是 SDL 的發(fā)明者,也是 SDL 的最佳實踐者,并且很多國際客戶按照 SDL 標(biāo)準(zhǔn)進(jìn)行實施。如今微軟提出新標(biāo)準(zhǔn) SDL+DevSecOps,擁有八個環(huán)節(jié),每個環(huán)節(jié)里都將安全集成進(jìn)去:
李亮(主持人):微軟這樣描述自己的軟件開發(fā)生命周期:從第一行代碼開始我們考慮安全的設(shè)計。今天不光是微軟,任何從事云、傳統(tǒng)軟件、硬件、物聯(lián)網(wǎng)、數(shù)據(jù)平臺等研發(fā)工作時,我們需要不斷地將這個理念植入到整體的思維方式里。
張美波:微軟本身有很龐大且復(fù)雜的云時代安全商業(yè)架構(gòu),軟件開發(fā)對我們來講是基礎(chǔ),所以它在最底下部分,基礎(chǔ)是 SDL。其架構(gòu)非常龐大,基本囊括微軟所有和安全相關(guān)的產(chǎn)品。
左邊是客戶端部分,微軟強(qiáng)調(diào)是統(tǒng)一的客戶端,不僅是 Windows 客戶端,還有蘋果、安卓、Linux 都屬于左邊部分內(nèi)容。
中間部分涉及到微軟 IaaS 和 PaaS,包括混合云部分,涉及到很多具體的功能。
下邊部分是世界級 IoT 物聯(lián)網(wǎng)的安全部分,微軟有物聯(lián)網(wǎng)安全架構(gòu)和物聯(lián)網(wǎng)的成熟度模型,并擁有國際化標(biāo)準(zhǔn),一些國內(nèi)廠商是直接引用該標(biāo)準(zhǔn)。
右邊是信息保護(hù)部分,微軟擁有完整的數(shù)據(jù)生命周期的,即從數(shù)據(jù)開始創(chuàng)建到銷毀結(jié)束這個完整的數(shù)據(jù)生命周期,里面涉及到 AIP、SaaS 等產(chǎn)品。
還有關(guān)于身份驗證防控部分,擁有 AzureAD 等技術(shù)。
左上角部分是很容易被別人忽略掉,大家通常認(rèn)為安全是做加固的,而微軟認(rèn)為安全是有生命周期:事前的安全加固、事中的安全監(jiān)測和事后的響應(yīng)。事中監(jiān)測和事后響應(yīng)依靠 SOC,這是最新的 Azure Sentinel 產(chǎn)品。微軟 SOC 基于Azure Sentinel 來實現(xiàn),Azure Sentinel 集成很多安全系統(tǒng),如 ATP、AzureAT、AzureSecurity Center,還有外部的各種第三方防火墻、網(wǎng)絡(luò)安全設(shè)備、IT及事件管理系統(tǒng)等。
我們有完善的系統(tǒng)集成能力,并依托 Security Graph 這個分析和 AI 能力實現(xiàn)安全事件的自動響應(yīng)。
韋青:微軟每個員工都要通過一個 Microsoft 云計算的AZ-900考試。如今進(jìn)入云時代后,服務(wù)提供商或計算能力提供商和使用者的邊界消失,所以我們認(rèn)為安全是整個社會或者雙方責(zé)任,是共享責(zé)任。我們作為服務(wù)應(yīng)用提供商,有自己的安全責(zé)任邊界,作為用戶而言,同樣有自己需要負(fù)責(zé)的安全責(zé)任邊界。
以上述美波的戰(zhàn)略架構(gòu)圖為例,里面都用了“Graph”的概念,也就是“圖數(shù)據(jù)庫”,左邊、右下角都是 Graph,傳統(tǒng)數(shù)據(jù)庫和 Graph 的最大區(qū)別是,Graph 不單有節(jié)點(diǎn),而且有關(guān)系,Graph能夠有效表達(dá)“點(diǎn)”與點(diǎn)和點(diǎn)之間的“關(guān)系”。由于現(xiàn)在是萬物互聯(lián)時代,所以微軟在搭建架構(gòu)時認(rèn)為在萬物互聯(lián)的安全語境范圍內(nèi),每個人作為一個“點(diǎn)”都是“安全上下文語意條件下的一分子”,每個人可以為安全做貢獻(xiàn),同時也可能是一個漏洞。
李亮(主持人):今天的安全理念和傳統(tǒng)的會太一樣,作為企業(yè)和員工,我們該發(fā)力在哪些具體的點(diǎn)上或者該參考什么樣的架構(gòu)來構(gòu)建自己的企業(yè)級安全體系?
蔣濤:從企業(yè)的角度來看,我認(rèn)為現(xiàn)在比較需要有一個類似軟件成熟度 CMMI 的安全成熟度產(chǎn)品,就是根據(jù)企業(yè)性質(zhì)、企業(yè)數(shù)據(jù)、數(shù)據(jù)價值來設(shè)計相應(yīng)的安全等級,這個等級不是從保護(hù)角度來制定,而是從企業(yè)需求和商業(yè)價值的角度來。
從上面兩位嘉賓的介紹,現(xiàn)在微軟跟以前我們理解的微軟不太一樣,可能大多數(shù)人對微軟的認(rèn)知可能是 10 年前的微軟。
如今微軟在安全上投入巨大,我要請這個“安全保鏢”需花費(fèi)多少?作為管理者,我可能會考慮,其他軟件都是微軟的了,現(xiàn)在需不需要買個“全家桶”,那么有更優(yōu)惠的方案或者有自選方案嗎?
這是作為管理者關(guān)心的問題:第一有沒有等級標(biāo)準(zhǔn),第二有沒有不同的方案選擇。
李亮(主持人):微軟不是一下子就跳到今天的環(huán)境下,有一本書《工具,還是武器 ?》上講述很多關(guān)于微軟在構(gòu)建今天的可信云平臺過去走過的很多路,大家如果有興趣的話,可以讀一讀這本書。
張美波:安全對微軟來講說是核心戰(zhàn)略方向,微軟 CEO 薩提亞·納德拉曾表示,我們承諾給客戶提供安全和隱私。
微軟不僅是全球第一流的IT企業(yè),還是全球第一流的網(wǎng)絡(luò)安全企業(yè)。如今微軟每年投入超過 10 億美元進(jìn)行安全產(chǎn)品研發(fā)。從全球范圍看,不要說投入超過 10 億,安全行業(yè)收入超過 10 億可能就幾家企業(yè)。
其實對微軟而言,安全也是社會責(zé)任,微軟經(jīng)常聯(lián)合很多國家一起行動,和黑產(chǎn)抗?fàn)幍降祝航衲?月,微軟和一些國家政府聯(lián)合打破全球最大僵尸網(wǎng)絡(luò);7月,微軟聯(lián)合國家政府組織一場針對 62 個國家的網(wǎng)絡(luò)欺詐攻擊。
今年,Gartner發(fā)布《Solution Comparison for the Native Security Capabilities 》報告,首次全面評估全球 TOP 云廠商的整體安全能力,其中微軟 Azure 獲得全球云廠商最多的 High 評分,位列第一。另外,微軟有 5 個安全產(chǎn)品和服務(wù)是處于 Gartner 領(lǐng)導(dǎo)象限。其中,Microsoft Defender 從落后到領(lǐng)先,一年半時間逆襲成為現(xiàn)在的領(lǐng)導(dǎo)者。
因為我們擁有微軟智能安全圖譜,這是全球最大的全情報平臺,擁有大數(shù)據(jù)、機(jī)器學(xué)習(xí)、人工智能、云計算應(yīng)用平臺,每月在設(shè)備檢測出的安全威脅數(shù)量超 50 億次,每月身份驗證請求數(shù)超過 5400 億次,這是非常龐大的數(shù)據(jù)。
我們把所有數(shù)據(jù)放到分析平臺上,通過機(jī)器學(xué)習(xí)進(jìn)行分析。首先,在上層我們從不同的渠道收集數(shù)據(jù),數(shù)據(jù)經(jīng)過脫敏、處理、整理,通過大數(shù)據(jù)分析平臺反饋到產(chǎn)品上,產(chǎn)品層面同樣也會把數(shù)據(jù)反饋到 Graph 里相互迭代。
基于微軟強(qiáng)大的安全能力,如今微軟提供給大家一套安全套件 Microsoft 365,可覆蓋 85% 以上企業(yè)的 IT 和日常運(yùn)營場景。涵蓋 20+ 產(chǎn)品,從四個類別來做防護(hù):一是身份與訪問管理;二是威脅保護(hù)與安全檢測;三是信息保護(hù);四是安全管理與監(jiān)控。產(chǎn)品里面分等級,不同許可證里涵蓋的產(chǎn)品是不一樣的。
韋青:它無法用單一的“產(chǎn)品”來形容,它可稱之為“安全系統(tǒng)”,而不只是安全“產(chǎn)品”。
安全案例分析
張美波:微軟把過去 20 年的網(wǎng)絡(luò)攻擊行為進(jìn)行分析,發(fā)現(xiàn)最早在 2004 年之前我們所面臨的攻擊行為主要是傳統(tǒng)老三樣:木馬、病毒、蠕蟲。從2005年開始,攻擊行為變成有組織的犯罪團(tuán)伙作案,不像傳統(tǒng)老三樣了,而是以金融、金錢為目標(biāo),攻擊技術(shù)就變成金融欺詐、身份憑據(jù)竊取、勒索、挖礦等。
到了 2012 年,攻擊行為又進(jìn)化了,原來更多針對系統(tǒng)服務(wù)數(shù)據(jù)等,現(xiàn)在針對關(guān)鍵基礎(chǔ)設(shè)施、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等,涉及的安全從數(shù)據(jù)和服務(wù)上升到人身、國家、社會。所以現(xiàn)在全球國家把網(wǎng)絡(luò)安全放在較高的地位。
下面和大家分享微軟的客戶案例,六個 APT 組織攻擊某世界 500 強(qiáng)金融企業(yè)。一開始該企業(yè)發(fā)現(xiàn)自己被攻擊后,嘗試清除攻擊者,企業(yè)以為清除完成,但實際上沒清除好,該 APT 組織在企業(yè)系統(tǒng)潛伏了 8 個月。企業(yè)不得不尋求微軟的幫助,微軟安全專家只花了 3 天時間就把它清除掉,同時發(fā)現(xiàn)里面還有另外五個組織在潛伏。
所以在這里強(qiáng)調(diào),網(wǎng)絡(luò)安全是社會責(zé)任的問題,去年微軟和合作伙伴成立了微軟智能安全聯(lián)盟,未來該聯(lián)盟應(yīng)聯(lián)合全球 133 家廠商的力量共同打擊黑產(chǎn)。
微軟安全解決方案
張美波:下面給大家看看,安全廠商是怎么實現(xiàn)安全技術(shù),并映射到具體的企業(yè)場景里去。其中最典型的是,入侵者通過兩種途徑從內(nèi)部發(fā)起攻擊,一是用戶訪問 Web 網(wǎng)站受到攻擊,被裝上了漏洞軟件;二是釣魚郵件,91% 攻擊行為通過釣魚郵件發(fā)起,其中涵蓋惡意鏈接和惡意附件,緊接著系統(tǒng)客戶端被感染,被入侵者命令控制,這是非常常見的事。
下一步,入侵者先做環(huán)境偵測 ,竊取用戶身份憑據(jù),緊接著在系統(tǒng)內(nèi)部做橫向移動,如拿到用戶名來攻擊電腦。當(dāng)拿到比較高級別帳號后攻擊系統(tǒng)。下一步,入侵者在系統(tǒng)里做持續(xù)保持和控制權(quán),如系統(tǒng)后門木馬等,同時竊取機(jī)密數(shù)據(jù),入侵者可潛伏很久,這是整個攻擊鏈模型。
那么微軟安全產(chǎn)品是怎么來抵御的?
在釣魚郵件層,通過Office 365 ATP(ATP是高級威脅保護(hù)套件)的郵件網(wǎng)關(guān)和高級反惡意鏈接工具來實現(xiàn)的。在使用 Office 365 時,可將惡意電子郵件、惡意鏈接直接封掉,保護(hù)用戶不受到攻擊影響。
在第二階段,通過 Micosoft Defender ATP 來實現(xiàn)對設(shè)備的保護(hù)。在身份驗證憑據(jù)和橫向移動層,通過 ATA、Azure ATP 企業(yè) APT入侵平臺來保護(hù)。對于身份驗證與憑據(jù)保護(hù),通過 AzureAD 進(jìn)行保護(hù)。針對特權(quán)帳戶管理、高危操作、重大權(quán)限操作,需要審批流程才可以操作,而不是進(jìn)來直接可以做的。Conditional Access 也一樣,這是實現(xiàn)零信任訪問架構(gòu)的核心。
在數(shù)據(jù)保護(hù)上,我們做到全數(shù)據(jù)生命周期保護(hù),如 PPT 文檔可加權(quán)限讓對應(yīng)的帳戶查看,同時設(shè)個權(quán)限有效期。整套解決方案是通過 Azure Security Center 和 Azure Sentinel 來實現(xiàn)安全態(tài)勢感知和 SOC 安全運(yùn)營中心,這是微軟供應(yīng)鏈模型和對應(yīng)的產(chǎn)品架構(gòu)。
未來安全技術(shù)
蔣濤:在短期內(nèi),企業(yè)系統(tǒng)處于“混合”狀態(tài):一部分在云上(單云/多云),一部分在本地。在這種情況下,我們希望能有一套企業(yè)安全等級,不是最高級別到全系統(tǒng)級別的全防護(hù)策略,而是代碼、數(shù)據(jù)、災(zāi)備應(yīng)有一套安全監(jiān)測標(biāo)準(zhǔn),將這些串成企業(yè)安全等級。
未來應(yīng)有一個安全藍(lán)圖,大家共同來描繪和參與其中。今天我學(xué)習(xí)到很多,之前認(rèn)為安全很重要,但沒意識到安全這么重要。另外,安全培訓(xùn)是企業(yè)重要的工作,如何通俗易懂地講給管理者、開發(fā)者、運(yùn)維人員是一件重要做的事情。每個公司都應(yīng)該交一個安全界的朋友,第一,讓對方幫忙監(jiān)測企業(yè)系統(tǒng);第二,萬一企業(yè)出現(xiàn)安全事故后,需要請安全專家解決。
未來我們遇到的安全威脅將越來越多,未來將會出現(xiàn)兩種入侵者,一是專業(yè)級的選手,大部分公司不需要太擔(dān)心,他們可能會攻擊金融等重點(diǎn)領(lǐng)域。二是由于現(xiàn)在攻擊技術(shù)在平民化,可能出現(xiàn)一些“小毛賊”攻擊者,所以企業(yè)要具備底線,每位員工須接受企業(yè)安全技術(shù)培訓(xùn)。公司里不一定設(shè)有安全的工程師,但是一定會建立一套數(shù)據(jù)的安全守則。
張美波:《孫子兵法》里有兩句話我非常喜歡:“知己知彼百戰(zhàn)不殆”“用兵之法,無恃其不來,恃吾有以待之”,意思是我們要做好比較完善的防備,然后才能有備無患。
很多企業(yè)不知道自己有什么資產(chǎn),甚至不知道哪些系統(tǒng)需要保護(hù),我們需識別資產(chǎn)風(fēng)險,明確下來哪些東西需要保護(hù),只有了解了目標(biāo)和方向后,才知道下一步應(yīng)往什么方向走。
韋青:今天微軟跟 CSDN 聯(lián)合舉辦《刷新 CTO》本期安全話題,希望能為大家打開一扇窗口,不要把安全當(dāng)成別人的事情,安全是你和我都相關(guān)的事情。如今每個人互相存在連接,有可能發(fā)生物理空間所有風(fēng)險原封不動搬到數(shù)字空間,希望大家借此機(jī)會對企業(yè)安全有所思考。
社會已進(jìn)入復(fù)雜系統(tǒng)時代,這是混沌、復(fù)雜、隨時涌現(xiàn)和融合的時代。我們把過去確定論的思想放下來,基于每家企業(yè)財力、能力的增加,慢慢擴(kuò)展安全技能。
李亮(主持人):據(jù)統(tǒng)計,企業(yè)里有專門安全人員的比重不到 10%,安全比重開銷平均約 3~5%。隨著企業(yè)業(yè)務(wù)云化進(jìn)程加快,安全是非常大、非常有潛力的市場,希望各位多掌握安全知識。