神刀安全网

微软亚洲首席安全顾问皮耶·诺伊揭示企业资安防护三大要点

微软亚洲首席安全顾问皮耶·诺伊揭示企业资安防护三大要点

近年来资讯安全事件频传,诸如加密勒索软件横行、身份剽窃、资安攻击组织化等趋势,让大至国家政府机关小至个人无一能幸免于难,加上移动设备普及与社交网络的推波助澜,将企业资安防守战线无限延伸、挑战也更形艰钜。台湾微软为了协助企业擘划在“移动优先,云端至上”世代的企业资安策略蓝图,特别邀请微软亚洲首席安全顾问皮耶·诺伊(Pierre Noel)访台,除了分享全球企业资安三大趋势:一、攻击目标从随机变成特定化;二、攻击形式规模经济化;三、使用者行为主导,并同时揭示企业资安防护三大要点:一、事前预防胜过事后修补漏洞或取回外泄资讯;二、强调使用者行为安全重于设备安全;三、企业应提高资安管理层级并采用通过国际认证的资安服务。

黑客攻击目标特定并讲求经济效率 使用者行为成为防害关键

无论是乌克兰电力网络遭黑客攻击导致大停电、孟加拉央行存放于美国联准会联邦储备银行纽约分行的存款遭黑客成功盗转 8,100 万美元、巴拿马文件风波等资安事件,在在显示资安攻击已非随机、单一的攻击,其犯罪方式不但更加组织化且更具经济规模,俨然成为国家安全与企业营运的另一重大危机。然而,放眼全球,相关基础资讯建设、资安投资以及资安人才的欠缺,让各国政府与企业高端管理人不得不重新思索云端世代的资安布局。

根据台湾微软 2015 年受客户委托针对涵盖银行、保险、运输、传产 、高科技、制造业和公部门等 7 大产业 5 万多名企业内部使用者,透过使用多重手法进行总计近 18 万次测试,汇整不同测试结果并交叉分析后发现:有高潜在风险易遭锁定攻击之帐号占 47%、使用者行为具高风险者占 38%、违反邮件安全规范而导致系统遭感染占 32%、密码帐号权限遭破解并盗用占 29%、设备遭植入僵尸网络占 9%。根据上述测试,近 4 成使用者是新兴数码攻击的高风险族群,在强调经济规模与特定目标的前提下,资料已成为更胜于金钱的勒索标的。同时据统计,使用者被黑客攻击后平均需 243 天才会发现,然而攻击者只需 80-100 小时,就可让发送攻击来源消失且顺利取得使用者的资料,攻击型式变化的速度已非传统防护模式可抵御。

“网络犯罪(Cybercrime)、黑客主义(Hacktivism)与恐怖主义(Terrorism)有一个共通点即为没有规则可循,其所驱动的网络犯罪与攻击,已在全球造成近 1 兆美元的损失,因而减损的生产力产值每年也高达 3 兆美元。举例而言,恶意软件的攻击成等比级数成长,光是移动恶意软件数量就成长了 250%,指向式攻击频率也增加了 5 倍;身份遭剽窃的数量也高达 7,700 万笔。”微软亚洲首席安全顾问皮耶·诺伊表示,“即便是守备严密的美国军方与国防部都无法在资安攻击中幸免于难,光是美国军方约聘人员便有 90,000 笔 E-mail 遭窃、美国国防部更有 24,000 个档案遭窃,显见资安攻击的目标愈来愈特定也愈具经济规模。”

资安管理应从四大原则与三大面向管理

无论是 BYOD、BYOC、物联网感测设备或移动设备,仅针对设备进行安全防护已无法抵挡资安攻击的无孔不入。此外,随着社交网络与相关应用兴盛,工作与私人领域的界线日渐模糊,使用者的行为反而更显重要。如何从下而上筑起资安的防线,透过科技辅助重塑资安企业文化,将是高端经理人责无旁贷的管理课题。

微软亚洲首席安全顾问皮耶·诺伊表示,“针对规模与影响范围日渐扩大的资安攻击,我们提出了四大主要防范原则:治理(Governance)、可课责性(Accountability)、与企业文化相容程度(Compatible with the Culture)与动态的风险管理(Dynamic Risk Management);以及三大管理方向:一、管理来源多且量大的资料;二、从个人层级管理使用者行为与;三、从多元存取点进行管理。这些原则也鼓励企业在既有的企业文化内,推动使用者资安意识提升并进而改变使用者行为。”

选用符合国际安全标准验证的供应商有效控管资安风险

根据国际知名研调机构 Gartner 所预测,资讯安全科技与服务的全球市场规模将在 2020 年超过 1,200 亿美元。微软身为提供全方位资讯解决方案的技术厂商,在资讯安全上持续不断的投资与研发,也创造了不少独到优势,例如:微软在全球有 100 万台以上服务器,可获得遥测数据进行分析,预先防范攻击。此外,微软也是仅次于美国国防部,最常遭受网络攻击的对象,也使微软在防堵攻击上的技术与策略有更丰富的经验与独到见解。除了致力防守资安漏洞外,微软进行高可信度电脑运算(trustworthy computing)工作已逾 14 年,其运行依循安全性、隐私安全、法规遵循与透明化等四大原则,不但是率先取得全球公认 ISO / IEC 27018 国际云端安全标准的供应商,也获得超过 57% 的财富 500 大企业采用。

“据统计,2015 年台湾中大型企业有 80.1% 曾发生资安事件。针对企业资安管理,以往都是 CIO 或 CTO 全权指挥,但面临现在攻击无孔不入、大小设备都有可能遭受攻击的资安现况,资安不但为 CIO / CTO 的关键业务执掌,也被视为是 CEO 关切的五大议题之一,显见其重要性。”微软全球助理法务长兼台湾微软公共暨法律事务部总经理施立成表示,“在云端应用布局是否能够符合企业资讯安全策略与规范,进而促成企业转型并提高生产力,有赖供应商善尽管理、监督与提供技术支持。因此,选用符合国际安全标准验证的供应商,也可确保供应商能提供符合国际标准要求的资讯安全管理制度,协助企业从资讯基础建设、设备乃至使用者行为都能有效管理,预先架设完备的资安防护网。”

当企业面对愈来愈猖獗且具针对性、大范围式的网络攻击该如何因应?微软亚洲首席安全顾问皮耶·诺伊表示,因攻击的层次不断升高、范围不断扩大,企业除了从软件、硬件与云端都应采用符合国际安全规范的服务外,也应及早教育企业内部使用者不当使用行为的危害,才能有效控管资安风险,防护企业资安于无形,也防范资安攻击于未然。

微软协助企业全方位资安防护 事先预防胜于遭骇后补救

微软针对新世代的企业资安相关威胁,例如身份窃盗、资讯攻击与入侵、持续性威胁等,强调需及早预防胜过事后应变并提供相应的解决方案。

  1. Windows 10 提供了设备安全、身份安全、企业资料保护与线上保护等解方案,例如 Microsoft Passport 以双因素认证方案登入 Windows 10;另外,机密守卫(Credential Guard)可保护用于单一登入的使用者衍生凭证,保护敏感性资讯。
  2. Microsoft Azure 公有云服务是业界唯一承诺最高等级 95% SLA 不停机保证,其 Azure Security Center 服务,透过独步业界的仪表板型式检阅所有安全性状态,使用者只要一眼即可确认安全性状况达到迅速预防、侦测并回应威胁。
  3. 甫于今年 3 月底在台发布的 SQL Server 2016 全面加密、 资料列层级的资讯安全与动态资料遮罩等特色,让企业享有安全的资料新平台。
  4. Microsoft Enterprise Mobility Suite 具有全方位跨平台资安防护,提供身份识别、设备管理、应用程序管理、资料保护与威胁分析等防护,为企业提供全新 3D 立体监控、打造 3A 等级企业资安防护。
  5. Office 365 的设计依据 Microsoft 安全性开发周期,在服务等级方面,Office 365 透过深度防御的方式,提供实体、逻辑和资料层的资安功能及最佳营运实务做法。此外,Office 365 更提供企业等级的使用者和管理员控制功能,可更进一步保护企业的资讯环境。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 微软亚洲首席安全顾问皮耶·诺伊揭示企业资安防护三大要点

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址