【臺灣資安大會直擊】微軟靠嚴格管理存取權限、身份保護確保資訊安全，還以機器學習對抗網路攻擊

「大家覺得是開車還是搭飛機比較可怕」，微軟全球資安技術長Diana Kelley在臺灣資安大會的第二天以「20/20網路：聚焦混合雲安全性」的主題演說中，一開始便以這個問題詢問大家。

大多數人的答案可能是飛機，原因可能是對巨大金屬在空中飛翔的安全疑慮，但Diana認為另一個答案則是控制性，這是因為大多數人駕駛自己的車，有一定的掌控權，但是坐飛機時可能會因為缺乏掌控權，不清楚誰控制這架飛機，因而帶來恐懼。

Diana表示，雖然我們不清楚飛機的駕駛者是誰，但是卻可以信賴飛機駕駛員擁有的執照，企業對雲端的資訊安全存疑，如同搭乘飛機因為無法自己控制的恐懼感，或許大家可以像信賴飛機駕駛員那樣，信任你的雲端夥伴。

相較於20多年前，今天的網路安全樣貌正在快速變動，許多的交易透過網路進行，網路也成為駭客攻擊的新戰場。仍有企業對雲端安全存疑，但換個角度想，雲端也對企業的資安管理帶來新的想像。

以可控性、可視性降低企業對雲的疑慮

Diana表示，混合雲提供各種工具，協助企業監控和管理混合雲上的資產，包括以身份為基礎的自動化監控機制提高對混合雲環境的可視性及控制性，可以更敏捷、有效地應對網路威脅，以有效率的方式找到智慧財產及敏感資料。

然而，企業擁抱多雲及混合雲的趨勢發展，「企業往往要面對不同的雲端服務者、多個團隊，缺乏整體的安全體驗」。她不忘舉薦自家的Azure，在微軟混合雲架構中，微軟以Intelligent Security Graph(下圖，來源：微軟)來建構整合性的安全體驗，支援身份安全、雲端應用及資料、雲端基礎架構、裝置的安全保護。

有些企業認為上雲後，安全、隱私及法遵的責任都落在雲端服務商的身上，但她認為雲端安全應是一種企業和雲端服務商在責任分擔上的夥伴關係，從企業機房、IaaS、PaaS到SaaS，責任可能是企業自己全部獨力承擔或是一部份和雲端服務供應商共同承擔。除了責任分擔外，雲端服務供應商為企業分擔基礎資源管理，讓企業可以重新規劃基礎資源的運用，同時也能以更智慧有效的方式管理資訊安全。

而談到資訊安全思維，Diana也順道說明了新興的Cyber Resilience思維，不同於過去資安偏向保護所有資訊，阻擋任何資安攻擊，Cyber Resilience強調企業面對攻擊，可以快速發現回應及回復。

嚴格落實資安管控、靠機器學習技術抵擋網路攻擊

在微軟的數位化轉型過程中，現在已有95%的工作轉到Azure，仰賴雲端的資訊安全管理保護，但是仍有剩下的工作是在微軟自己內部資料中心內執行，而為了確保內部資訊安全，Diana分享了微軟自己的做法，針對存取權限採取嚴格管理，例如對雇用的員工嚴格執行背景調查、每年進行人員的安全訓練，使用多因素身份驗證，最小化權限存取或以時間限制存取權，每年還有一次紅隊藍隊的資安攻防演練。

目前微軟在全球有超過100個資料中心，蒐集全球各地安全數據，每天約有6.5兆的訊息送到Azure，由微軟Intelligent Security Graph研析出資安洞察，每個月掃描12億個裝置、分析超過4000億封電子郵件、掃描超過180億的Bing網頁，每月處理至少4500億的身份驗證等等。

微軟也利用多層式的機器學習模型對抗網路攻擊(下圖，微軟提供)，從最上一層的本地端機器學習模型、行為偵測演算法，逐漸往下到雲端以元資料為基礎的機器學習模型、樣本分析為基礎的機器學習模型、大數據分析等等。透過機器學習模型，在2017年10月首次發現Bad Rabbit惡意程式的14分鐘內識別出來，防止攻擊擴大。

在企業的資訊安全管理上，她提出了建議，包括最小權限控管及身份保護、部署網路防火牆及DDoS防護、保護靜止/傳輸/使用中的資料、開啟威脅防護，調整混合架構上的工作負載，並且持續評估、擬定政策，隨時依照合規調整內部指導策略。