在今年微軟Build 2024大會上,微軟執行長Satya Nadella揭露微軟2大AI戰略:微軟Copilot技術架構和Copilot+ PC。前者的技術架構,涵蓋了AI基礎層、基礎模型層、資料層、AI調度工具層以及Copilot應用層,十分廣泛。
為保障這個技術架構安全運行,微軟特別打造了AI安全與資安層,就像是最底層基礎設施到最上層應用層的金鐘罩,確保所有基礎設施、開發工具和應用都能夠安全執行。
但,這個AI安全與資安層到底是什麼?
Satya點出,該層的核心是微軟去年11月底發起未來安全計畫(SFI)。這個計畫遵守3大原則,包括安全設計(Security by design)、安全預設(Security by default)和安全維運。在這3個原則下,微軟列出6項安全文化和治理作法,有保護身分和秘密、保護租戶和獨立產品系統、保護網路、保護工程系統、監控與偵測威脅,以及加速因應和恢復。
微軟執行長Satya Nadella揭露微軟Copilot技術架構中的AI資安與安全層,以去年11月底發起的未來安全計畫(SFI)為核心,包括安全設計、安全預設和安全維運三大原則,以及6項安全文化和治理作法。圖片來源/微軟
微軟開發者部門總裁Julia Liuson和微軟威脅情資部門客戶副總裁John Lambert更進一步說明,其中的保護身分和秘密、保護工程系統做法。尤其,自去年底以來,他們跨部門密切合作,共同對抗了俄羅斯駭客組織午夜暴雪(Midnight Blizzard)攻擊,並將這些經驗融入到SFI之中。
John Lambert說明,午夜暴雪採圖(Graph)攻擊,策略是獲取憑證,因此他們鎖定開發者,想得到開發者憑證,再用這些憑證建立攻擊圖,進而掌握公司機密。為防止開發者不小心在Email或原始程式碼中洩漏秘密,微軟建立了GitHub Advenced Security工具來掃描秘密,這是保護身分和秘密的作法之一。
但這個掃描工具也有缺點,比如它可能無法識別每個秘密,而且這些秘密沒有明確特徵,也很難被辨識。因此,使用系統託管的身分識別(System managed identities)工具就很重要,它不只能自動更換授權所需的關鍵資訊、降低人工成本,還能快速回應。這是微軟從午夜暴雪事件學習到的重要一課,「我們希望所有應用程式都受到系統託管身分識別的保護,」Julia Liuson說明:「長期而言,我們希望不再使用任何密碼。」如此,開發者就不會不小心把這些秘密資訊遺留在原始程式碼中,或Email給他們的朋友,也不必再定期更換密碼。這是微軟SFI的另一努力方向。
同時,在保護工程系統方面,微軟的做法是刪除70多萬個未使用的示範(demo)應用程式、範例應用程式和測試應用程式,也刪除了許多與這些應用程式有關的儲存庫和建置流程。因為,只要還有憑證、還能存取資源,就會被威脅者所利用。
Julia Liuson總結,在保護工程系統方面,微軟學到2個非常重要的經驗,一是從所有工程系統中,刪除不需要的應用程式,再來是以對待正式上線程式的嚴格標準,來對待非正式上線的示範、範例和測試等3類應用程式。
除了企業內部的工程系統,還得注意另一個常被攻擊的目標:開源開發生態。這類攻擊大多是社交工程,比如今年上半年XZ Utils開源專案遭威脅者植入後門,這些後門只讓XZ Utils執行速度慢了些,很難讓人察覺問題。
但,微軟PostgreSQL開發者發現這個問題,一番研究後確認XZ Utils資料壓縮程式庫被植入後門,並點出這是一場供應鏈攻擊事件,引發全球性的調查。微軟因此未受到後門程式影響,也將自己的經驗整合到GitHub Advenced Security工具相依性檢視中,比如利用GitHub軟體專案相依性自動管理工具Dependabot,來警示開發者哪些儲存庫正使用有漏洞的軟體,並協助開發者解決問題。這是微軟安全文化的體現。
不單靠工具發出警報通知,Julia Liuson也力推安全第一文化,尤其透過培訓,在團隊保有好奇心與創意,還能提高團隊資安意識。她表示,微軟將持續研究更多安全技術和工具,來確保服務安全。
.png)
熱門新聞
2024-09-23
2024-09-25
2024-09-26
2024-09-23
2024-09-22
2024-09-24
2024-09-24