面对漏洞威胁信息安全,微软教你怎样举起盾牌
(本文阅读时间:3分钟)
Grace Peng
微软合作伙伴业务拓展总监兼客服兼非著名主播
· 内容形式:图文+音频
· 主题:如何把智能产品做的更智能
· 读/听时间:10分钟
· 阅读建议:先收藏,再阅读,再观看
· 掌握难度:★★★★☆
“2021年1月12日早晨,某火车站段微机室接到车站调车区长的故障报修电话,经区长叙述,路局现在车系统无法显示页面,导致列车运行图无查看,列车编组顺序表无法制定,调车计划无法编排。随后的30分钟内,几乎全段的运输生产电脑全部出现同一故障。”
为什么 Flash 会被 Adobe 亲手抛弃,而且在 Adobe 停更之前,包括 Apple、微软、Facebook、火狐等公司都早已放弃呢?其实原因只有一个,Flash 存在严重的高危漏洞影响企业安全。对于企业而言,系统安全无疑是最重要的一道屏障,没有任何一个公司敢于在黑客和数据漏洞上以身犯险,但想要做到绝对安全、各个环节天衣无缝的确很难。思科的前 CEO John Chambers 说过:世界上一共有两类公司,一类是已经被黑的;另一类是不知道自己已经被黑的。我们现在强调的“万物互联”,某种程度上也可以说是“漏洞互联”,越来越多的企业面临被攻击的高风险,这对于企业安全人员来说无疑压力巨大。
漏洞袭来如黑洞
在大部分企业都还没有 CSO(首席安全官)的情况下,兼职的安全官们如果只是靠经验……虽然经验很重要,但是很多时候就只能头疼医头脚疼医脚,那遇到勒索病毒的情况,整个公司的运作就有可能都瘫掉,更何况在现在的混合云的状态下,和之前面对的环境是不一样的。对于企业来说,任何一个微小的漏洞都有可能造成极大的伤害,公司这个千里之堤不能溃于蚁穴。
目前以混合云为主流的市场上,公司受到安全攻击后的严重危害,其核心主要体现在管理成本和攻击成本之间的极大落差上。
不经意间从 U 盘里带进一个病毒或者从网上点了一个可疑链接被植入了一个木马非常容易,但排查起来却要如“蜀道难”。不仅如此,现在的勒索已经出现了 Raas,叫做勒索软件 as a service。
这个勒索软件的成本非常低,仅仅需要预付66美金或者是30%的收益,就可以启动这样的一个服务,针对目标对象去发动攻击。所以在攻击成本非常小的情况下,你作为一个管理员,如何来去面对这个庞大的、自己管理不了的网络环境?
更糟糕的是,2020年下半年勒索软件的疯狂攻势只是序幕,根据 Cybersecurity Ventures 的预测,2021年,全球勒索软件破坏成本很可能将达到200亿美元,是2015年的57倍。
除了传统的 IT 的架构之外,还有人工智能或者机器学习所需要的训练集、中间态数据等。我们当然想通过训练数据获得有用的人工智能,但是这中间产生的数据却不经意间已经成为黑客们的香饽饽了。
当我们开始利用数据来帮助我们做数字化转型,其实这个数字化反过来也成了我们未来很可能会面对的软肋之一。很多公司其实都已经发现了这件事情,那么怎么去对这件事情进行防御?微软在这方面应当很有发言权。
深耕细作安全领域
匠人精神守护企业健康发展
作为信息技术公司,40多年来微软致力于信息安全的研究,拥有了一套自己的经验理论,并受到权威认可。在2018年全球网络安全企业百强发布,微软排名第一。
而去年的 Cyber Defense Awards 里面,微软也荣获六项大奖。
微软在每年大约有10亿美金的安全投入,3500多个专家,还有大量的外部专家和安全机构和微软一起研究。如果大家愿意的话,可以参考这张图,来做自己的安全架构。
如果你觉得上面这张图太复杂了,自己公司也不适合微软一样的量级,那我们可以看看从传统的技术分类上来看安全要做什么。
当然这只是个简单分类,不是实操。我们如果要实操,心中需要有地图,然后再盘算怎么最大化效益地走到目的地。对于安全的切入抽象概括就4个关键:第1个叫一致性;第2个叫零信任;第3个叫重视运维;第4个是利用数据科学的技术来去加强安全研发和管理。这其中一致性是首要的。
第一,你能放进来的用户,无论是访问什么样的资源,其实都应该是有统一的身份,或者是近乎打通的统一身份,起码是互相认证过的,这是身份层面的。特别是有不同系统打通的情况下尤为重要。
第二,是对于你的 log 的分析的标准一致,比如企业做 SIEM,也就是安全信息和事件管理,其对 log 的分析,其实也需要一致性。我的数据来源、我的数据的分析的模型其实都需要有一致性。
第三,如果有应用程序和应用程序之间的互相连接的话,你可能涉及到各种各样的 key 的传递,那么你需要有个 Azure key vault 来承担你的一致性。
第四,如果你拥有一套管理的平台的话,这套管理平台应该是跨基础架构的,现在都不能只是跨基础架构,因为还有 container、Surface 等。所以平台应该跨很多东西,保持它的一致性。
第五,管理视图的一致性。例如像 Microsoft 365 有一个 security center,它里面就有一些一致性的检验来告诉你的 security score 大概是什么样,你没有得到满分的地方是从哪来的。
而对于混合云来说,微软把所覆盖的技术面也抽象概括分成了四类。分别是身份、安全和管理、数据、DevOps,这4个内容是从安全角度来看,在混合云架构里面最重要的。
第一,身份。如果微软内部有最佳的 practice 的话,排名第一的一定是身份。就和上文一致性一样,它就贯穿了整个微软提供的安全管理策略,无论是什么策略,以身份为入口的一致性,都是贯穿在整个生命周期当中。
第二,运营。无论买了多好的防护设备,没有持续的运营和对安全的尊重,结果都约等于马奇诺防线。
第三,数据。保证数据的安全,这一无形资产可能会影响企业发展的命脉。
最后,DevOps。微软现在诸多应用程序的开发是内外兼有,特别在混合云的状态下,开发环境本身就需要 Security by Design。
今天的内容我们就分享到这里。相信以微软的丰富经验和解决方法一定会对您企业的安全大有裨益。微软近期也举办了 Microsoft Ignite China 在线技术大会,就以上的安全问题以及企业安全人员的疑问进行了解答,没来得及看的朋友也不要错过,满满干货一网打尽。
▲扫码直击 Ignite 大会现场!
『美女与IT兽』是什么?
① 美女:已经这么直白的上了“真相”就不用多说什么了~
② IT兽:对,就是你们!一直走在探索科技、新鲜事物的路上,不知不觉中影响着时代的一群人!
❀ 栏目形式:每期10分钟美女语音 & 图文内容
❀ 栏目主题:这个时代有人工智能,有机器人,互联网发展到物联网。而这一切的基础,是“云”!
· 你的云要讲性价比,如何选择基础架构?
· 你的设备要相连,如何玩转物联网?
· 你的产品要升级,如何加入人工智能属性?
· 你的公司要加速,如何在云上加快效率?
......
如果你正在寻找以上问题的答案,那就守着这个“赏心悦耳”的栏目——听微软“非著名”主播聊云、聊科技。
推荐阅读
精彩活动