微软将翻修内部安全设计,提出安全未来倡议

情境示意图,图片来源/微软

微软总裁Brad Smith在本周四(11/2)揭露了微软的未来安全倡议(Secure Future Initiative),指出将从3方面著手以推动一个安全的新世界,包括聚焦基于AI的安全防御、强化基础软体工程,以及宣导更强大的国际规范,其中,前两者将涉及微软内部大规模的安全翻修。

Smith说,微软内部在最近几个月得出了结论,就是网路攻击的速度、规模与复杂性不断地提高,需要采取新的应对措施,以追求新一代的网路安全保护,未来安全倡议于焉诞生,并将汇整微软的每个部分来达到该目标。

根据微软的统计,过去两年有40%国家级骇客的攻击行动都锁定了重大基础设施,像是电网、供水系统或医疗机构等,这些领域的服务中断可能带来可怕的后果;而微软所追踪的123个勒索软体即服务的联盟伙伴,自去年9月以来的攻击次数增加了200%以上,此外,有超过8成的成功攻击是来自于未列管的装置。

微软安全未来倡议其中一个重要支柱是人工智慧(AI),认为AI将彻底颠覆网路安全的传统游戏规则。这是因为无所不在的装置与持续的连网状态建立了大量的数位资料,而更难以侦测网路攻击,微软光是1天内就能自全球的装置接收超过65兆个讯号,就算地球上的80亿人口都能一起寻找网路攻击的证据,可能也永远跟不上攻击行动,然而,AI却能扮演大海捞针的角色。

此外,微软也打算利用AI的机器运算速度来击败网路攻击。目前最大的网路安全挑战之一为缺乏资安专业人才,全球短缺了逾300万的相关人才;同时攻击的速度、规模与复杂性造就了不对称性,令组织难以大规模地预防或破坏攻击。因此,微软的Security Copilot整合了大型语言模型及安全模型,可自复杂资料生成自然语言的见解与建议,以机器的速度来防范攻击。

对于那些经常成为骇客入口的未列管装置,则可借由嵌入AI检测能力的Microsoft Defender for Endpoint 进行管理,第一时间拦截来自手机、笔电或伺服器的入侵企图。

Microsoft Security执行副总裁Charlie Bell则详细说明了微软内部软体工程的相关变更,包括软体开发的转型,采用新的身分保护,以及加快漏洞回应速度。

Bell表示,微软将借由自动化与AI改变软体的开发方式,将安全开发生命周期(SDL)变成动态SDL(dSDL),于撰写程式、测试、部署及运作的过程中,把持续整合与持续发布(CI/CD)扩展至持续整合保护以对抗新兴的威胁。

同时微软亦将加速及自动化威胁建模,把执行程式码分析的CodeQL部署到所有的商用产品中,并扩大使用诸如C#、Python、Java与Rust的记忆体安全语言,在程式语言层级便建置安全性以消除常见的传统软体漏洞。

此外,微软将提供更安全的预设值,计划自动导入Azure租户的基准安全控制,既可减少手动配置成本,也提高了安全标准;并将建立一个跨装置、产品及服务的统一身分管理平台,以减少用户身分被冒用的机会,并将强制使用标准的身分函式库;亦准备把身分签章金钥移至更强固的Azure HSM(硬体安全模组)与运算基础设施上,在此一架构中,签章金钥不管是在静态、传输或运算过程中都是加密的,并自动允许高频率的金钥替换。

在上述强化安全的措施下,微软预期未来缓解云端漏洞的所需时间将可缩短50%。

微软未来安全倡议的最后一个支架是国际规范。其实微软在2017年就曾呼吁全球应制定数位日内瓦公约(Digital Geneva Convention),以规范网路空间的行为准则。这次Smith重申,所有国家都应该公开承诺,不会在能源、水、食品及医疗保健等关键基础设施供应商的网路上植入软体漏洞,并应将云端服务视为重大基础设施。

Smith指出,各国都不应允许境内任何人,从事可能会危及云端服务安全性、完整性或机密性的网路活动;也不应为了间谍活动而不分青红皂白地损害云端服务的安全性。