【创科广场】网络攻击日趋转型 Microsoft防御手段与时并进
2019-11-29 10:57
数码化带来大量的商机,同时令网络犯罪和攻击肆虐。建立网络信任(Trust)成为了最大的课题之一。近年Microsoft投入大量研发资源,并有愈来愈多安全相关组织,经费每年超过10亿美元,多项产品登上了研究机构的领导位置。
Microsoft 全球聘用超过3500名全职网络安全专家,可能是全球最大的安全团队,以AI工具分析,包括先进Graph Security,分析连接数据点之间的关系,从而推测攻击的可能性,Microsoft每日从全球蒐集达8兆讯号,寻找网络攻击各种綫索。
如果说,Microsoft是全球最大的安全情报网络,相信绝不为过。
Microsoft投资在人工智能,分析全球从云端和流动设备的威胁,并且成立数码罪案小组(DCU),在全球30多个国与执法调查单位合作。迄今DCU成功瓦解了18个僵尸网络。
Microsoft也在亚太区投资5个网络安全中心,分别位于中国、印度、韩国、日本及新加坡。不过,部分攻击属于国家级,更难于防范。Microsoft网络安全Field CTO外展技术总监Diana Kelley表示,过去一年,不少企业开始注重数据保护,加密的勒索软件大幅下降,不过仍有大量网络攻击,针对盗用身分,网络保安纷纷动用人工智能(AI)作保护侦察,其网络攻击的黑客,亦已大规模利用AI去作武器,恶意程式更难于发现。
身分管理或最后防綫
Kelley说,不少专家相信,黑客已开始部署AI恶意程式,攻击更难于侦察。反制这些AI驱动的恶意程式,必须有较更大运算力,从云端蒐集更大量情报,保安专家也利用AI和机器学习,基于更多风险评估因素去侦察不寻常的活动。
另一个攻击趋势,则是通过供应链发展攻击;例如透过企业的系统供应商,更新系统软件,又或者在硬件内,偷偷加上恶意程式和后门。
企业数码设备愈来愈多,制造业供应链复杂。估计2022年前,约半数企业产生的数据,都会在数据中心或云服务以外环境作处理,加上有不少过期软件,可能有大量漏洞、缺乏保护设备,愈来愈多,不少沿用原厂设定登入资讯,更容易遭受入侵。
「企业必须整合方案,才能抵御从供应链发动攻击,其中一个方法,就是加强身分和登入的管理;包括保护用户登入身分,并以基于用户风险水平,来控制资源存取,例如按时间和地点赋予不同权限,通过某个角色的不同位置,调整存取权利。」
Microsoft结合Azure身分管理( Identity Management),可以在任何地判断某个身分登入的风险水平,另外,亦可通过多重因素验证,以不同方法确定用户的身分。
不少企业迈向混合云,公有云亦成为企业须防守保安边界,未来网络安全最大的挑战。企业的保安边界,随着数据分散不同地点,加上配置了混合云,数据资源的位置变得模糊;不可能在所有保安边界上,配置防火墙作为防御。
故此,传统保安设备己不能完全保障用户,不同云端保护方案,亦应运而生。
Microsoft就开发了以Azure云服务为基础的SIEM方案Sentinel,可迅速从云端接收大量信息,又投资在Cloud Access Security Broker (CASB)产品Microsoft Cloud App Security,实时检视云算运算上流经的所有内容。
不少企业开始认为,投资在传统防火墙等设备,并不足以提供保护,必须配合云端的情报,任何保安方案须与云服务结合,从Microsoft的产品发展,可见云端保安产品,未来会愈见流行。
零信任大势所趋
传统防御以保安边界(Perimeter),界定保护范围。随着边界的概念衰落,业界兴起了零信任(Zero Trust),亦所有网络连接,皆假定为不安全,必须进行验证。即使是身分用户,也不能单靠密码。
零信任已经成为保安业界共识,实践之馀,如何不影响用户体验,又是另一挑战。
Kelley表示,国家资助的网络攻击出现,也成为网络保安最逼切的议题。Microsoft威胁情报中心(Threat Intelligence Center)已确认全球有110个涉及恶意程式的活动组织。上述组织也不断干扰选举活动,甚至体育活动,今年10月,Microsoft发现名为Strontium组织,2020年东京奥运会的前夕,针对全球的16个运动组织和禁药药检组织发动攻击。
Kelly则表示,关键在企业是否能主动认识攻击形势的变化,数码化技术不断演进,不能墨守成规,须与时并进。
全文刊于《星岛日报》「创科广场」
最新回应