微軟資安長現身說法，面對現今威脅，雲端服務安全需聚焦4大面向

積極擁抱雲端的微軟，在眾多業者中，對其產品服務安全性的重視程度，算是數一數二，因為他們遭受駭客攻擊的次數，可是僅次於美國國防部。關於微軟如何建構安全的環境，全球資安技術長Diana Kelly，在臺舉行的2018年度微軟資安大會上，全球資安技術長Diana Kelly，現場說明了自家產品與服務的安全策略。

面對雲端服務、行動應用等環境變化，以及各式癱瘓企業基礎架構的網路攻擊，加上嚴格的法規遵循等，現在我們面對的資安問題，已經不同於以往。

對於現今網路環境的挑戰，Diana Kelly指出了4個趨勢，同時也說明了必要的防護策略。她指出，在身分識別方面的攻擊，今年成長了3倍，因此做好驗證與存取管控，相當重要；再者，企業資料仍是最吸引攻擊者的目標，要能隨時隨地做到保護；第三，鑑於高達96%的惡意軟體是自動變種，防護上，要更快檢測攻擊並自動響應；最後，是安全工具太多，使用不易，因為他們收到多數企業回報，內部使用了超過60個安全解決方案，所以他們認為，要有工具能夠整合安全調查，並提供具體因應方針。

 萬物聯網的時代，資安成為企業關注焦點，微軟全球資安技術長Diana Kelly從數位轉型與全球威脅情況談起，說明現在企業需要面臨的挑戰與防護策略。（攝影／羅正漢）

而從網路威脅現況來看，在微軟最新的安全情報報告（第23回）中，說明了前三大威脅是殭屍網路、社交郵件與勒索軟體。

因應上述威脅態勢，Diana Kelly也藉此提到了微軟本身的資安能量，例如，關於殭屍網路的威脅，微軟去年底收集了44,000個樣本，從中分析Gamarue殭屍網路的生態系，發現該殭屍病毒在全球擁有1214個C&C伺服器，並建立了464個不同的殭屍網路，涉及逾80個惡意程式家族，因此，他們去年底積極與歐美政府執法機構合作，摧毀了主導Gamarue殭屍網路的成員與建立的基礎架構。

關於微軟在資安方面的能量，Diana Kelly表示，微軟安全研究人員從44,000個樣本分析Gamarue殭屍網路的生態系，發現它發展出464個殭屍網路，在全球共有1214個C&C伺服器，他們去年底便與全球多國執法單位合作，共同瓦解Gamarue殭屍網路的危害。（攝影／羅正漢）

關於勒索軟體方面，在企業關注的WannaCry與Petya之外，她指出，去年底還有一個名為Bad Rabbit的勒索軟體，也造成不小的危害，不過，這個威脅在40分鐘內，就被他們發現並阻擋，而這主要是利用Windows Defender防毒使用分層機器學習的防禦方式。當然，她也提到今年的勒索軟體威脅有降低的趨勢，取而代之的是惡意挖礦的攻擊。

雲端服務安全聚焦四大重點：身分識別與存取管理、資料保護、威脅防護與安全性管理

對於微軟服務體系的安全，是如何建構而成，簡單來說，可以分成三個層面：情報、平臺與合作伙伴。Diana Kelly也逐一解釋這三個層面與微軟服務間的關聯。她並指出，微軟在安全上的作法，不僅是保護微軟本身的資料安全，並要將安全建構在他們所提供的產品與服務，才能更進一步協助企業用戶保護其資料、系統與設備。

首先，在情報能力上，透過微軟本身服務的廣泛性，彙整全球Windows裝置、電子郵件、認證、網址的威脅情資。而對於如何應用情報，以保護資料安全，單靠事前、事中的防護也不足夠，他們同時也強調了偵測和回應的配合。

而為了協助企業資料保護與風險管控，微軟也是不斷強化整體雲端平臺的安全性，產品及服務內建的資安防護功能，就是重點。Diana Kelly指出，主要可以畫分成4大面向，分別是身分識別與存取管理、資料保護、威脅防護與安全性管理。

因此，關於這些防護面向，微軟也已經提供各式功能與機制，幫助企業用戶，做到更好的安全管控。

​

微軟全球資安技術長Diana Kelly表示，要將安全建構在他們所提供的產品與服務，主要側重在4大面向，包含身分識別與存取管理、資料保護、威脅防護與安全性管理，因此，微軟也在這些面向提供多種功能與機制。例如，在身分識別與存取管理方面，包括Windows Credential Grard、Azure Active Directory，以及Windows Hello與條件式存取等。

不過，Diana Kelly也坦承，網路安全是一個很難的題目，因此在微軟的產品服務上，也結合了各式各樣的合作夥伴，以強化平臺安全性。

舉例來說，上述的4大安全面向，其實都有對應的資安業者，為企業帶來更多幫助。像是在身分識別與存取管理有RSA、Trusona等，為企業提供不同身分認證技術，在威脅保護機制上，可以結合像是Check Point、Lookout等資安業者提供的安全防護，在安全性管理的面向，也有Splunk、QRadar、Palo Alto等產品，能與微軟建構的平臺進一步整合。

在安全性上，對於微軟提供的產品與服務，除了仰賴自家的情報能力，以及微軟自己在平臺上內建的安全防護，他們也藉助了合作夥伴的力量，從三個層面建構安全體系。

整體而言，對於微軟本身的安全防護，他們強調透過人工智慧、機器學習，以及在產品及服務中內建資安防護，加上合作夥伴，以提供更全面的資安防護。

不過，若與過去微軟所提供的技術相比，現今內建安全防護到底存在那些差異？Diana Kelly則表示，主要關鍵在於，微軟近年開始投入大量的研發資源，在安全相關專案，每年超過10億美元，此外，他們兩年前也成立了一個團隊，名為Cyber Security Solution Group，能協助他們在現行的安全架構下，提供更具體的資安策略與規畫。

此外，關於產品服務的安全問題，我們也注意到微軟本身也有推出漏洞發現獎勵計畫，我們借此機會詢問Diana Kelly，她表示，目前針對各個不同的微軟服務項目，約有10個左右的獎勵計畫。期望藉各界之力，讓微軟產品服務的漏洞，能早期發現並回報給他們，得以即時修補，他們也會提供獎金作為回報，期望促進正向循環。

當中，她不僅舉出了Windows相關獎勵計畫，特別的是，她還提到了微軟身分驗證的專案，以及關於推測性執行旁路獎勵（Speculative Execution Side Channel Bounty）的專案等，顯然，這就是他們近一年在安全漏洞上所關注的焦點。

微軟近年持續公告新的漏洞發現獎勵計畫，其中最新的兩個專案是關於微軟身分驗證，以及推測性執行旁路的計畫。