微軟建立可信平台 提倡數碼衞生

微軟建立可信平台 提倡數碼衞生

微軟(Microsoft)在這幾年間不斷收購安全技術相關的公司,目的不是要做資訊安全方案供應 商,只是為提升產品及服務的安全水平及加強防衛能力,希望在數碼年代建立可信的數碼環境,期望 企業數碼轉型順利。

微軟在 2014 年以 2 億美元買下混合雲端安全創業 公司 Aorato、2015 年同時收購雲端安全企業 Adallom 及安全方案供應商 Secure Islands,前者投 下 3 億美元,後者未有透露收購價。早前,又以 1 億美元買下 Hexadite,藉對方的人工智能及身分認證技術對付日趨嚴重的攻擊。微軟表明其角色是要建立可信的平台,讓用戶對數碼環境更有信心。

四大原則建立信用框架

該公司企業對外及法律事務部副總顧問 Jeff Bullwinkel 指出,在數碼年代,所有企業的業務及 應用已離不開雲端,Office 365、Google Apps、OneDrive、Dropbox、Box、Azure、AWS 等等, 總有一項涉及雲端。根據思科全球雲端指數 2012 至 2017 的報告顯示,期內在雲端的數據流量增長高達 500%,反觀傳統基建支持的數據流量只有輕微增幅,足見企業對雲端的依賴。

在這情況下,雲端服務供應商一定要成為客戶可信的夥伴。微軟責無旁貸,提出了三大責任:擴大加密保護至所有服務、提升程式碼(Code)的透明度、對客戶的數碼加強保護。然後以四大原則作為可信平台的框架,包括:安全(保護客戶數據安全)、透明度(客戶會知 道微軟如何處理其數據)、私隱及控制權(所有數據屬於客戶,其擁有一切控制權)及法規(在符合法規下管理數據)。

Jeff Bullwinkel 鼓勵企業採用符合法規要求及提供大量資訊安全措施的雲端平台,因為以個人之力難以自建同一規模的平台。

Jeff Bullwinkel 鼓勵企業採用符合法規要求及提供大量資訊安全措施的雲端平台,因為以個人之力難以自建同一規模的平台。

提升數據透明度

Bullwinkel 舉例說明,在保安層面,微軟早於 2015 年 11 月已推出 Trust Center 網站,提供所有跟雲端服務相關的安全資訊,以便客戶能夠找到資源,建立信心後作出對使用雲端服務的決策。同時答應給客戶最大的數據透明度。而在私隱及控制權上,過去微軟曾與政府及法律機構角力,對交出非當地客戶資料的要求力抗到底。最後在建立平台時,以各地客戶都能符合及回應當地法規要求為首,正如有部分地區,大眾有私隱權,在Azure平台出現的人面圖片,都會打格處理。

最近,微軟雲端平台及服務亦已跟從最新的歐盟一般資料保護法(GDPR),企業可因應需要採用符合此法規的服務。Bullwinkel 強調:「企業如自建平台實難滿足不斷改變及增強的法規,但微軟在過去幾年已投入了數以十億美元到保護數據及資訊安全上,這規模是一般公司難於做到。」

微軟在建立可信的平台上可謂不惜工本。該公司亦不斷擴大數據中心的規模,目前已於 40 多個國家及地區擁有逾 100 個數據中心,伺服器數量超過百萬部。數據中心仍持續增加,包括位於加拿大溫哥華及魁北克市、德國馬格德堡及法蘭克福,以及英國的將陸續投入服務。

微軟透過 Microsoft Trust Center 跟客戶連繫,向客戶發放最新的安全資訊,讓客戶更了解市場發展。

微軟透過 Microsoft Trust Center 跟客戶連繫,向客戶發放最新的安全資訊,讓客戶更了解市場發展。

應注重數碼衞生

有服務供應商為客戶提供可信平台,但面對無日無之的網絡攻擊,企業卻不可掉以輕心,應注重數碼衞生(Cyber Hygiene)。微軟企業數碼安全部門亞洲區首席數碼安全顧問 Michael Montoya 提醒客戶,要建立安全的企業。他表示,現在已是攻擊的年代,黑客的技巧很成熟,對金融業的攻擊又快又多,更嚴重至向國家發動網絡攻擊,變相有很大機會發展成數碼恐怖襲擊,例如令火車停頓等行為。

不過,以目前來看,釣魚電郵仍然是最常用及簡單的攻擊方法,而黑客登入被盜的個人電郵之後,第一 件事就是搜尋密碼,接著就會尋找銀行資料等。但相對黑客的發展進度,如每月可產生 42.5 萬新的惡意軟件,不少用戶的數碼安全防衛顯然有所不足,包括有 63% 用戶採用較弱或被盜用的密碼,有部分企業更花上 17 個月時間才能偵測到惡意軟件。整體來說,每個受害個案平均損失 400 萬至 500 萬美元。

Michael Montoya 指出,面對不斷出現的攻擊,企業有必要做好數 碼衞生工程,才能有效防衛。

Michael Montoya 指出,面對不斷出現的攻擊,企業有必要做好數碼衞生工程,才能有效防衛。

五大方法保持衞生

企業真的束手無策?Montoya 認為做好數碼衞生將是基本。企業可從五大方向令自己的數碼環境更乾淨:

  1. 了解環境:掌握用戶、終端、網絡設備所產生的數 據及位置。
  2. 維護更新:確保所有軟件採用最新版本。
  3. 複雜密碼:採用複雜難於攻破的密碼是必須,甚至建議採用多重身分證認及加密方案。
  4. 分割網絡:為工作站、網絡及不同部分割所使用的網絡,加上登入權限控制,將更為安全。
  5. 做好備份:要保留網絡日誌(Logging)及擁有良好的備份策略。

同時,對付網絡攻擊離不開三大步驟:保護,可將安全引擎整合成單一平台;偵測,要擴大可視範圍,甚至引入人工智能,幫助了解網絡上出現的異常;回應, 借助夥伴的服務或應用,建立自動回應功能及機制。總的來說,企業應在這三大範疇上建立全球規模的安全保護方案。

當然會賣保安方案

雖然微軟強調自己不是資訊安全方案公司,只是將安全放在第一位,但不難發現該公司原來有不少跟安全相關的方案,從身分及登入管理、攻擊防衛、資訊保護及安全管理皆有,長遠發展下去要成為另一間資訊安全公司服務商,誰敢說不可能?