面对漏洞威胁信息安全,微软教你怎样举起盾牌
· 内容形式:图文+音频
· 主题:如何把智能产品做的更智能
· 读/听时间:10分钟
· 阅读建议:先收藏,再阅读,再观看
· 掌握难度:★★★★☆
提到Flash想必大家都不会陌生,很多人小时候都曾着迷于Flash小游戏里不能自拔。这个自1996诞生,为我们带来许许多多便捷和欢乐的经典产品,在经过几代更替与其他技术的迅猛发展后已经越来越少人提起,但最近的一则黑色幽默般的新闻则将它又重新带回了大众的视野。
“2021年1月12日早晨,某火车站段微机室接到车站调车区长的故障报修电话,经区长叙述,路局现在车系统无法显示页面,导致列车运行图无查看,列车编组顺序表无法制定,调车计划无法编排。随后的30分钟内,几乎全段的运输生产电脑全部出现同一故障。”
上面新闻是来自于某火车站出现的一个故障,因车站调度列车运行的系统出了问题,列车的运行图无法查看导致后续火车的班次都确定不了。究其原因是火车站调度系统用的Flash与美国Adobe公司全面禁止其内容的运行有关。在经过20多个小时的一系列紧张操作后,终于暂时恢复了列车排班。一个陪伴了我们24年的产品就此宣告落幕,难免让人唏嘘。
为什么Flash会被Adobe亲手抛弃,而且在Adobe停更之前,包括Apple、微软、Facebook、火狐等公司都早已放弃呢?其实原因只有一个,Flash存在严重的高危漏洞影响企业安全。对于企业而言,系统安全无疑是最重要的一道屏障,没有任何一个公司敢于在黑客和数据漏洞上以身犯险,但想要做到绝对安全、各个环节天衣无缝的确很难。思科的前CEO John Chambers说过:世界上一共有两类公司,一类是已经被黑的;另一类是不知道自己已经被黑的。我们现在强调的“万物互联”,某种程度上也可以说是“漏洞互联”,越来越多的企业面临被攻击的高风险,这对于企业安全人员来说无疑压力巨大。
01黑云压城城欲摧 漏洞袭来如黑洞
在大部分企业都还没有CSO(首席安全官)的情况下,兼职的安全官们如果只是靠经验……虽然经验很重要,但是很多时候就只能头疼医头脚疼医脚,那遇到勒索病毒的情况,整个公司的运作就有可能都瘫掉,更何况在现在的混合云的状态下,和之前面对的环境是不一样的。对于企业来说,任何一个微小的漏洞都有可能造成极大的伤害,公司这个千里之堤不能溃于蚁穴。
目前以混合云为主流的市场上,公司受到安全攻击后的严重危害,其核心主要体现在管理成本和攻击成本之间的极大落差上。
不经意间从U盘里带进一个病毒或者从网上点了一个可疑链接被植入了一个木马非常容易,但排查起来却要如“蜀道难”。不仅如此,现在的勒索已经出现了Raas,叫做勒索软件as a service。
这个勒索软件的成本非常低,仅仅需要预付66美金或者是30%的收益,就可以启动这样的一个服务,针对目标对象去发动攻击。所以在攻击成本非常小的情况下,你作为一个管理员,如何来去面对这个庞大的、自己管理不了的网络环境?
3公司难以负担高额的破坏成本更糟糕的是,2020年下半年勒索软件的疯狂攻势只是序幕,根据Cybersecurity Ventures的预测,2021年,全球勒索软件破坏成本很可能将达到200亿美元,是2015年的57倍。
4新兴智能也会被黑客攻击,保护无法面面俱到除了传统的IT的架构之外,还有人工智能或者机器学习所需要的训练集、中间态数据等。我们当然想通过训练数据获得有用的人工智能,但是这中间产生的数据却不经意间已经成为黑客们的香饽饽了。
当我们开始利用数据来帮助我们做数字化转型,其实这个数字化反过来也成了我们未来很可能会面对的软肋之一。很多公司其实都已经发现了这件事情,那么怎么去对这件事情进行防御?微软在这方面应当很有发言权。
02深耕细作安全领域 匠人精神守护企业健康发展
作为信息技术公司,40多年来微软致力于信息安全的研究,拥有了一套自己的经验理论,并受到权威认可。在2018年全球网络安全企业百强发布,微软排名第一。
而去年的Cyber Defense Awards里面,微软也荣获六项大奖。
微软在每年大约有10亿美金的安全投入,3500多个专家,还有大量的外部专家和安全机构和微软一起研究。如果大家愿意的话,可以参考这张图,来做自己的安全架构。
如果你觉得上面这张图太复杂了,自己公司也不适合微软一样的量级,那我们可以看看从传统的技术分类上来看安全要做什么。
当然这只是个简单分类,不是实操。我们如果要实操,心中需要有地图,然后再盘算怎么最大化效益地走到目的地。对于安全的切入抽象概括就4个关键:第1个叫一致性;第2个叫零信任;第3个叫重视运维;第4个是利用数据科学的技术来去加强安全研发和管理。这其中一致性是首要的。
第一,你能放进来的用户,无论是访问什么样的资源,其实都应该是有统一的身份,或者是近乎打通的统一身份,起码是互相认证过的,这是身份层面的。特别是有不同系统打通的情况下尤为重要。
第二,是对于你的log的分析的标准一致,比如企业做SIEM,也就是安全信息和事件管理,其对log的分析,其实也需要一致性。我的数据来源、我的数据的分析的模型其实都需要有一致性。
第三,如果有应用程序和应用程序之间的互相连接的话,你可能涉及到各种各样的key的传递,那么你需要有个Azure key vault来承担你的一致性。
第四,如果你拥有一套管理的平台的话,这套管理平台应该是跨基础架构的,现在都不能只是跨基础架构,因为还有container、Surface等。所以平台应该跨很多东西,保持它的一致性。
第五,管理视图的一致性。例如像Microsoft 365有一个security center,它里面就有一些一致性的检验来告诉你的security score大概是什么样,你没有得到满分的地方是从哪来的。
而对于混合云来说,微软把所覆盖的技术面也抽象概括分成了四类。分别是身份、安全和管理、数据、DevOps,这4个内容是从安全角度来看,在混合云架构里面最重要的。
第一,身份。如果微软内部有最佳的practice的话,排名第一的一定是身份。就和上文一致性一样,它就贯穿了整个微软提供的安全管理策略,无论是什么策略,以身份为入口的一致性,都是贯穿在整个生命周期当中。
第二,运营。无论买了多好的防护设备,没有持续的运营和对安全的尊重,结果都约等于马奇诺防线。
第三,数据。保证数据的安全,这一无形资产可能会影响企业发展的命脉。
最后,DevOps。微软现在诸多应用程序的开发是内外兼有,特别在混合云的状态下,开发环境本身就需要Security by Design。
今天的内容我们就分享到这里。相信以微软的丰富经验和解决方法一定会对您企业的安全大有裨益。微软近期也举办了Microsoft Ignite China在线技术大会,就以上的安全问题以及企业安全人员的疑问进行了解答,没来得及看的朋友也不要错过,满满干货一网打尽。
↓ 美女与IT兽前39期(28期音频节目+11期视频节目)↓
NO.1 如果能说句话、挥挥手就能把事情办了,我们为什么还要做App?
NO.2 人类想象力的极限在哪里?
NO.18 智能硬件DIY平台如何一年时间快速的拓展近70国家?
NO.19 当IT人讨论“区块链”的时候,都在说些什么?(上)
NO.22 本体新一代公有基础链项目 & 分布式信任协作平台
NO.24 NEO:如何用区块链实现“智能经济”分布式网络?
NO.25 除了媲美同传的翻译棒,猎豹还有整栋“AI大楼”!
NO.28 SEEED:做物联网应用别再把时间花在硬件研发上
No.31 2019 Build大会上红红火火的RPA是什么?
No.32 数据安全上云本质上和韦小宝找齐四十二章经是一回事?
No.33 专家的替身,护士的跑腿——当人工智能步入医疗领域!
No.38 人类已经掌握了一套教机器自学成才的方法了?!(下)
『美女与IT兽』是什么?
① 美女:已经这么直白的上了“真相”就不用多说什么了~
② IT兽:对,就是你们!一直走在探索科技、新鲜事物的路上,不知不觉中影响着时代的一群人!
❀ 栏目形式:每期10分钟美女语音 & 图文内容
❀ 栏目主题:这个时代有人工智能,有机器人,互联网发展到物联网。而这一切的基础,是“云”!
· 你的云要讲性价比,如何选择基础架构?
· 你的设备要相连,如何玩转物联网?
· 你的产品要升级,如何加入人工智能属性?
· 你的公司要加速,如何在云上加快效率?
......
如果你正在寻找以上问题的答案,那就守着这个“赏心悦耳”的栏目——听微软“非著名”主播聊云、聊科技。