微軟四大資安防禦招式 堅守零信任世界

微軟安全性、合規性與身分識別部門企業副總裁 Vasu Jakkal

2021年開始，資安工作並未因新年到來而變容易。近來重大入侵事件頻傳，顯示隨著網路使用程度增加，不僅威脅者手法漸趨精細，商業風險管理也更為複雜，無論政府機關或民間機構、也無論規模大小，都面臨如此難題。當邁入數位轉型的下一階段，科技與人類最基本的活動密不可分，資安人一定要問自己下列幾個問題：如何讓使用者對自己的裝置、資料、網路活動安全有信心？如何保護使用者，使其安心並且有能力追求創新及未來成長？身處「零信任」（Zero Trust）的世界，資安人更該如何鞏固信任？

微軟持續提倡無論面對何種資安威脅、無論威脅是由內而外或由外而內，皆應秉持「零信任」思維，將安全、合規性、身分識別及裝置管理視為相互相存的整體，且不論資料、裝置、身分、平台、雲端是否採用微軟服務，皆予以保護。

微軟致力為所有人打造資安，而這更是其微軟資安的核心精神。面對千變萬化的資安威脅局勢，微軟深感應幫助世界各地的人達成捍衛所在社群及組織的重要工作，也因此今天很高興能分享微軟在「身分辨識」、「安全」、「合規性」、「技能培養」四大領域的多項創新，幫助組織以更全面且符合所需的資安保護，因應當今最為艱鉅的資安需求。

1. 身分辨識：「零信任」做法的起點

採取「零信任」策略是趟旅程，過程中的每一步都將讓您的資安更為完善。現今企業的網路邊界逐漸消失，身分辨識成了第一道防線。每個組織的「零信任」旅程雖各有不同，但若不知從何起步，建議可從打造堅實的雲端身分辨識基礎著手，比如落實驗證工作、保護使用者憑證、保護裝置等，都是最為基本卻也最為關鍵的步驟。

雲端身分辨識解決方案中，微軟的Azure Active Directory（Azure AD）獲眾多客戶選用，使用者達4.25億，微軟今天也宣布Azure AD在「零信任」旅程中所能提供的新幫助:

• 「無密碼驗證」消除了現今資安中最薄弱的一環，現已普遍適用於多數雲端及混合環境，讓組織能為所有員工打造不需要網路登入密碼的端對端體驗，只要利用Windows Hello for Business、Microsoft Authenticator應用程式，或者是由Yubico、Feitian、AuthenTrend等微軟智慧資安協會（Microsoft Intelligent Security Association）合作夥伴所研發的FIDO2相容性安全金鑰，就能讓員工以生物識別或是輕觸登入。目前已開放預覽，利用Azure的「暫時存取權限」（Temporary Access Pass）可建立具時效性的代碼，用於設定或恢復無密碼憑證。
• Azure AD的條件式存取（Conditional Access）則是微軟「零信任」解決方案的核心政策。根據使用者使用應用程式時的行為，或使用者欲存取資料的機敏程度，現在可以利用驗證情境，執行更為詳實的策略。如此一來，組織在適當保護重要資訊之餘，也不會過度限制存取機敏程度較低的資料。
• Azure AD可驗證憑證（verifiable credentials）將在未來幾周推出預覽。有了可驗證的憑證，組織在驗證個人提供的學位證書或專業證照等資訊時就不需收集及儲存個資，藉此提升組織安全及隱私保障。此外，微軟近日與Onfido、Socure等身分驗證大廠合作，整合Azure AD可驗證憑證與此類業者的服務，將進一步增進驗證能力並強化資訊交換安全。日本慶應大學、比利時法蘭德斯大區（Flanders）政府、英國國民健保署（National Health Service ）等客戶都已率先採用可驗證憑證。

有關微軟宣布之Azure AD最新消息，更多資訊可參考由Joy Chik撰寫的部落格文章。

2. 安全：簡化「假設入侵」工具組

面對當今局勢，各位的資安工作應以「零信任」的關鍵原則──假設入侵（assume breach）──為出發點，但由於現實環境過於複雜、分散而窒礙難行，這正是微軟在提供人人可享的雲端資安服務時，要替各組織解決的問題。

首先，我們提供讓各組織無後顧之憂、對所有平台及雲端都有效的整合式解決方案。市面上有些業者提供端點或電子郵件保護，有些則主打安全資訊與事件管理（SIEM），各種服務整合起來可能十分費時，並非易事。相較之下，微軟則觀照全局，結合於雲端打造、業界一流的SIEM及延伸偵測與回應（extended detection and response，XDR）工具，讓各位能兼顧最佳效能及整合度，使魚與熊掌皆可兼得。

微軟也宣布推出下列新服務，以現代化的整合功能，替資安人帶來更簡便的使用體驗。

• Microsoft Defender for Endpoint以及Defender for Office 365的客戶現在可利用Microsoft 365 Defender入口網站調查資安威脅並加以修正。網站頁面分別彙整了警示、使用者及調查相關資訊，提供自動化深度分析及一目了然的視覺畫面，此外客戶還可運用新的學習中心（Learning Hub）教學資源，了解最佳實務做法及操作說明。
• Microsoft 365 Defender和Azure Sentinel採用同樣的事件及資料庫綱要，並提供相同的使用者體驗。此外，微軟也不斷擴充Azure Sentinel的連接器，並著手簡化資料擷取和達到自動化。
• 最新的Threat Analytics分享微軟資安研究專家所撰寫的一系列報告，力助組織可於 Microsoft 365 Defender中了解、預防並減緩Solorigate攻擊等當前活躍的資安攻擊威脅。
• 微軟推出安全核心（Secured-core）保障Windows伺服器及邊緣裝置，盡量減少IoT及混合雲環境中的韌體漏洞及進階惡意軟體攻擊的風險。

有關微軟宣布的資安威脅保護相關消息，請參考由Rob Lefferts and Eric Doerr撰寫的部落格文章。而關於安全核心相關消息，請參考由 David Weston撰寫的部落格文章。欲進一步了解Microsoft Teams新推出的資安功能，可閱讀由Jared Spataro撰寫的部落格文章。

微軟今日宣布的最新消息也延續微軟的一貫精神並將其發揚光大，微軟Defender for Endpoint及Azure Sentinel等解決方案不但提供組織可橫跨各雲端及平台，同時也提供首屈一指的保護、偵測及應變能力。其中Defender for Endpoint支援Android、iOS、macOS、Linux及Windows，且獲「Gartner魔力象限」（Magic Quadrants）欽點為領先業界的方案；而Azure Sentinel則涵蓋亞馬遜AWS、Google雲端平台、Salesforce服務雲、VMware以及思科資安防護傘（Cisco Umbrella），全方位照顧您所處的混合雲環境。

3. 合規性：由內而外的保護

微軟認為，「零信任」並非僅是防護「由外而內」的威脅，也提供「由內而外」的保護。解決合規性問題也包含管理與資料相關的風險，且不只是儲存在微軟雲端上的資料，更包括各位所使用的各式雲端服務及平台。微軟竭力拓展自身資安能力，將第三方業者服務納入保護，以便提供前述的由內而外保障，幫助各位全面減少數位資產風險。

近期宣布的合規相關創新服務如下：

• 以「微軟資訊保護」（Microsoft Information Protection）保障協作文件安全。如此一來，多名使用者同時編輯受保護文件時，也可享有Microsoft 365應用程式具備的整合式、可擴充的智慧型文件功能及郵件保護。
• Microsoft 365內部人員風險管理分析（Insider Risk Management Analytics）可偵測組織潛在的內部人員風險活動，供設定政策時參考。只需一鍵，系統就會每日掃描租用戶稽核紀錄（包括歷史活動），並運用Microsoft 365內部人員風險管理的機器學習功能，不僅可辨識具潛在風險的資安活動，同時擁有內建隱私保護。
• Microsoft 365針對Chrome瀏覽器以及檔案分享和SharePoint Server等以伺服器為主的就地部署環境，提供資料外洩防護（DLP）。
• Microsoft Information Protection已整合Azure Purview，如此一來在Microsoft 365 合規性中心（Microsoft 365 Compliance Center）所定義的敏感度標籤也能用於其他雲端或就地佈署環境中所存放的資料。Azure Purview是整合式的資料治理解決方案，適用於就地部署、混合雲、軟體即服務（SaaS）環境，可用於掃描及分類亞馬遜簡易儲存服務（AWS S3）、SAP ECC、SAP S4/HANA及Oracle資料庫中所存放的資料。

有關微軟宣布的合規性相關消息，更多資訊可參考由Alym Rayani撰寫的部落格文章。

4. 技能培養：培養技能以強化未來

根據統計，2021年資安人才短缺人數將達350萬，微軟深知要填補這樣的人才缺口是組織將面臨的一大難題，因此微軟不斷努力，確保各位能有充足且符合所需的技能培養及學習資源，以便跟上各類複雜資安攻擊的腳步。在支援資安專業技能培養方面，在此宣布微軟的兩項新政策：

首先，微軟推出四項新的安全、合規性及身分辨識認證，無論您的技能培養位於哪個階段，都能找到符合目前職務及需求的證照。關於前述的新認證方案，更多資訊請見微軟認證的資源網頁。

• 安全、合規性及身分驗證基礎（Security, Compliance, and Identity Fundamentals）認證，有助於熟悉微軟雲端服務中與安全、合規性及身分驗證有關的基礎概念。
• 資訊保護管理員（Information Protection Administrator Associate）認證，著重規劃及實施符合組織合規性需求的控管措施。
• 安全營運分析師（Security Operations Analyst Associate）認證，幫助安全營運專業人員設計威脅防護及應變系統。
• 身分驗證及存取管理員（Identity and Access Administrator Associate）認證，有助於利用Azure Active Directory設計、實施及操作組織的身分驗證及存取管理系統。

微軟深知培養技能應有更簡便的方法。在此方面，微軟安全技術內容圖書館（Microsoft Security Technical Content Library）將能幫助各位根據當前所需，找到並瀏覽相關內容。讀者可閱讀本日的Tech Community部落格文章，了解更多資訊。

人人享有資安

微軟資安致力於替所有人打造更為安全的世界，我們每天對資安工作充滿熱情，全力推出各項創新、專業知識和資源，助世界各地的資安人一臂之力。資安是團隊工作，而我們每個人都是其中一員。

更多有關微軟資安方案的資訊，請參考我們的網站。 將我們的資安部落格加入書籤，隨時掌握微軟專家的資安議題文章。也可追蹤我們的Twitter帳號@MSFTSecurity，接收最新的資安時事及更新消息。

若欲瞭解原文，請至微軟官方部落格參考。