Microsoft 在 Gartner 與 Forrester 線上活動中發布完整的安全性方案
Microsoft 資訊安全團隊分享
Microsoft 每天都在想辦法為我們彼此互相串連的全球社群,確保一體適用的安全性。為此,我們特地於近期贊助 2021 年 Gartner 資訊安全與風險高峰會以及 2021 年 Forester 資訊安全與風險論壇,並於會中探討資訊安全版圖一直以來的變化。身為 Gartner® 魔力象限™ 五項報告與 Forrester Wave™ 八項類別的領導廠商,我們的團隊積極分享有關新型態威脅、零信任資訊安全演進、管理法務遵循、風險與隱私權,以及打造明日企業所需人才的深入見解。
全面的安全性
Microsoft 安全性、法務遵循與身分識別企業副總裁 (CVP) Vasu Jakkal 與安全性產品行銷 GTM 總經理 Phil Montgomery 一同參加 2021 年 Gartner 資訊安全與風險高峰會座談,雙方就不斷演進的網路安全狀態議題進行廣泛的意見交流。Phil 一開場就將焦點擺在眾人視而不見的重要大事,亦即資訊安全版圖在過去 18 個月以來,如何演變成今日我們難以理解的模樣。
「當疫情開始肆虐全球時,企業被逼著必須一下子轉型為數位運作環境」,Vasu 點出這個重點。「當員工必須透過個人裝置來完成工作時,意味著數位攻擊的範圍將會變得既深且廣。網路攻擊型態不管在複雜度與發動頻率上,都呈現出驚人的上升走勢」,Vasu 接著以美國 Colonial Pipeline 遭受駭客入侵為例進行說明,指出 2021 年攻擊型態愈趨複雜且影響深遠。此外,她同時引述網路罪犯者藉由提供勒索軟體即服務來擴張攻擊行動範圍的現象。「除了多雲與多平台環境等混合式作業環境所帶來的挑戰,組織同時面臨各種新型態的經濟挑戰」,她重複說道。「這些因素加總起來,就形成了我們今日所面臨的網路安全複雜性。」
「不能關上門,卻又把窗戶打開。必須從外部與內部威脅互相牽制的整體角度來看待安全性態勢。」— Microsoft 安全性、法務遵循與身分識別企業副總裁 (CVP) Vasu Jakkal
Microsoft 之所以選擇將我們雲端原生的 SIEM 加上 SOAR 解決方案,亦即 Microsoft Sentinel,以及我們的延伸偵測與回應 (XDR) 工具 Microsoft Defender 兩相整合,原因之一就是為了消弭複雜性。整合這兩大解決方案能夠提供您對自身數位資產的縱覽能力,同時讓您的資訊安全作業中心 (SOC) 得以精細地調查與解決資安事件。「這層能見度與快速應變能力,在勒索軟體攻擊活動的早期階段可確實發揮相當大的效果」,Vasu 強調。「在現今的大環境裡,企業一旦連網,一定會暴露出許多漏洞。唯一能夠保護遠端工作者安全的方式,就是部署全方位的安全性。這意味著無論是安全性、法務遵循、身分識別、裝置管理與隱私權等,彼此都是環環相扣。」
除了科技議題之外,Vasu 還點出了以下重點:「每一位資安主管的當務之急,就是與團隊裡所有必要成員一起打造並實施各項計畫。您是否具備效率極高的通訊計畫?您是否已準備好完善的應變計畫?」另外,她還點出為組織裡每個層級的員工做好教育訓練並培養相關能力的重要性,如此他們才能夠識別可疑的活動並向上提報。
零信任概念於 2021 年正式誕生
Microsoft 計劃管理企業副總裁 Alex Simons 本月初於 2021 年 Forrester 資訊安全與風險論壇上與 Microsoft 身分識別安全性與零信任產品行銷經理 Nupur Goyal 再度一起參加另一場座談。Alex 同時對於過去 18 個月來,企業資訊安全所經歷的快速變化感到震驚。「回想一下 [疫情] 之前世界運作的樣子,每個人都將心力放在保護桌上型電腦與筆記型電腦上;大多數的應用程式都是地端型態」,他解釋道。「那時候沒有人會擔心國家層級的攻擊者。而這也是為何企業必須從原本的周邊安全性模式進階到零信任模式的理由。」
「就像人家說的,零信任模式最核心的概念就是:要達到完全安全的境界並非一蹴可幾。您只需要在員工作業環境上逐漸擴展多重要素驗證,並從能夠存取最重要應用程式的員工開始做起。」— Microsoft 計劃管理企業副總裁 Alex Simons
對一些組織來說,要實踐零信任必須一舉跳脫以往的思維。在這全新的思維架構下,我們假定所有的活動,即便是我們熟知的使用者所發起的,都有可能變成嘗試入侵系統的事件。Alex 指出,不管是透過使用者還是軟體本身,這些現階段鎖定身分識別的攻擊者都是我們需要注意的新型態威脅。「我們真的需要一套能夠隨時注意使用者及其裝置狀態的系統」,他解釋。「當中包括可存取您的資源的所有軟體服務。這套系統必須具備全方位功能。因為與您的軟體相關的工作負載身分識別,是全新的威脅型態。而面對這個情況,您勢必要準備好完善的因應計畫。」
Alex 建議組織一開始先對所有具備特殊權限的管理員帳戶套用多重要素驗證。此外,他還指出確保每一部存取資源的裝置都受到良好管理的重要性。「Microsoft 端點管理員與適用於端點的 Microsoft Defender 幫助我們實現這個目標。我們必須確保每一部裝置不只使用 PIN 碼進行加密與保護,還必須透過防毒機制來確保處於乾淨無害的狀態。」
大約有 76% 的 Microsoft 客戶已經開始實作零信任機制。因為我們正採用無疆界的混合式工作型態,零信任恰好是我們需要的安全性策略。零信任概念是奠基於以下三大指導原則:明確驗證、使用最低權限存取權、假設漏洞。Microsoft 正打造一套身分識別平台,藉此簡化並保護員工、合作夥伴、客戶、工作負載以及智慧型裝置之間所有往來關係的安全,無論您的身分是開發人員、IT 管理員還是使用者皆一體適用。「每秒鐘有 579 件攻擊事件正在發生」,Vasu 接著說道。「因此,要確保安全性機制發揮效用,必須從建立強大的身分識別機制開始。在這個全新的無疆界協同合作機制下,身分識別就像是『信任網狀架構』一樣。」
管理法務遵循、風險與隱私權
對於身處各行各業的組織來說,每天都需要存取、處理與儲存龐大的資料量。連同不斷增加的各式資料規範,讓這個數位世界顯得更加複雜,而且法務遵循風險更高。「我們所存放的個人資料隨時都在移動與變動」,Vasu 解釋著。「工作與家庭網路的界線再也分不清楚。在資料保護,甚至是遵循各項規範上,這個現象都為世人帶來了許多壓力。」
許多組織開始透過人為程序來探索所儲存的個人資料量。在消弭安全性與隱私權風險上,他們通常缺乏可行的深入理解。為此,Microsoft 於近期發布適用於 Microsoft 365 的隱私權管理。這項全新的解決方案能夠幫助組織識別重要的隱私權風險、自動化隱私權作業,並讓員工能夠以更明智的方式處理機密資料。
為了兼顧法務遵循與隱私權,Vasu 對資訊安全長 (CISO) 與風險主管提出了四大解方:首先是了解您的資料。「哪些人正在存取您的資料」,她問道。「您的資料移動方式為何?您使用的標籤正確嗎?您設定的機密等級正確嗎?您要如何防範內部人員風險?您是否設定正確的權限等級?」第二,是建立活動基準並以該基準來衡量異常情況。您不能單純透過稽核人員的角度來看這個世界,標準不是非黑即白。您需要協助團隊認識自己目前的進展。第三,與那些能夠協助您在全球各地據點處理法務相關事項的服務供應商建立合作關係。第四,建立內部的協作程序,以因應隨時出現的風險。「這不僅僅是資訊安全的問題,更是整個組織的問題」,她強調。也就是說,必須確保人資、法律、法務遵循與風險團隊齊心協力,與您的資訊安全作業中心協同合作。
零信任機制不光是由外至內的保護,更是由內至外的防禦。組織需要將法務遵循防護機制融入到作業流程當中,以抵禦內部人員的威脅。「不能關上門,卻又把窗戶打開」,Vasu 對此做出結論。「必須從外部與內部威脅互相牽制的整體角度來看待安全性態勢。」組織只需要實作無密碼技術,像是桌上型電腦上的 Windows Hello,或是在行動裝置上使用 Microsoft Authenticator 應用程式,就可輕鬆地完成防護的第一步。
培育未來所需的人才庫
如今在美國,因為找不到合格的技術人員,每三個網路安全相關工作中就有一個職務空缺。為此,Microsoft 在美國社區學院推行全國性活動,協助訓練與招募 250,000 人,並預計讓他們於 2025 年投入網路安全人力市場:
- 社區學院遍布全美。美國總共有 1,044 間社區學院,每一個州與領地皆有設立,包括都會、郊區、鄉村和部落等地。
- 社區學院比較經濟實惠。每年的學費平均只要 3,770 美元 (相較於四年制公立大學院校平均需要 10,560 美元)。此外,59% 的社區學院學生皆可申請助學貸款。
- 社區學院極具多元性。社區學院的學生包括 40% 的黑人或是非裔美國人或拉丁裔美國人。此外,這些學生有 29% 的比例是其家族裡上大學的第一代,而另有 20% 的比例為身障人士,其他 5% 則為退役軍人。此外,57% 的社區學院學生為女性。
「今年三月,我們宣布 Microsoft 的 Career Connector (就業媒合) 服務將在未來三年內協助 50,000 名接受 Microsoft 生態系統內各家非營利與學習合作夥伴所提供之技職訓練的求職者找到工作」,Vasu 解釋。Career Connector (就業媒合) 服務將致力於協助科技業界媒合婦女與未被充分代表的少數族群。「我很驕傲地向大家宣布,我們的全球技能計畫已在全球 249 個國家/地區培育了超過 3 千萬人」,她接著說道。此外,Microsoft 還將於 2021 年底前,透過 Microsoft Learn 持續推廣我們全球技能計畫裡所有免費提供的課程與低收費認證。為了協助業界填補法務遵循領域的人才缺口,Microsoft 同時針對安全性、法務遵循與身分識別提供認證課程。「無論您的身分為何,都能協助防範威脅。」
在今日不對等的網路戰事當中,攻擊者來自各種身分背景、種族與地區。為此,身為防禦者的我們也需要力求多元。「除了強調多元,我們也應該接納包容」,Vasu 解釋。「我們必須致力於從以往未曾想過的地方招募人才,以打造一個所有人都有歸屬感的職場環境。」她將解決人才短缺問題分成三個階段:讓更多人認識到網路安全性、協助他們培養所需的技能,然後創造自由揮灑的空間,以便所有人都能盡情地發揮所長。就 Vasu 看來:「最終,資訊安全還是得仰賴人才。無論您是在職場打拼 30 年而力求改變的資深工作者,還是剛踏入社會的職場新鮮人,這裡都為您保留了一個位置。」
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
欲了解詳情,請至微軟官方部落格