選擇合適的設(shè)備，提升網(wǎng)絡(luò)復原能力！

如今，幾乎每家企業(yè)都在面臨安全風險?；旌限k公模式加劇了對遠程管理設(shè)備的攻擊次數(shù)。

根據(jù)《2022年Microsoft數(shù)字防御報告》1顯示，在2021年5月至2022年5月期間，遠程管理設(shè)備遭受的攻擊次數(shù)增加了五倍。網(wǎng)絡(luò)攻擊預(yù)計給企業(yè)造成的平均損失高達424萬美元1。

安全風險

無處不在，與日俱增

隨著網(wǎng)絡(luò)攻擊場景與日俱增，有遠見的技術(shù)管理者不會只局限于安全防御，還要確保企業(yè)能夠在威脅發(fā)生時做出充分響應(yīng)，并在威脅發(fā)生后盡快恢復。他們會致力于構(gòu)建網(wǎng)絡(luò)復原能力策略，幫助企業(yè)在應(yīng)對安全風險時能快速恢復，并迅速發(fā)展。

想要獲得網(wǎng)絡(luò)復原能力，就需要務(wù)實地看待網(wǎng)絡(luò)安全問題。假設(shè)安全防御被攻破是不可避免的，也就是所謂的“假設(shè)性妥協(xié)”。這是一種重要的思維轉(zhuǎn)變，需要業(yè)務(wù)關(guān)聯(lián)者、IT專家、領(lǐng)導者、以及安全專家一同建立緊密的合作。倡導安全優(yōu)先的思維方式，選擇有復原能力的技術(shù)方案，采用零信任原則，并在流程和工作中構(gòu)建安全措施，讓每個人都參與進來，保障業(yè)務(wù)的安全。那么，如何獲得這種能力呢？

投資具有網(wǎng)絡(luò)復原力的技術(shù)

以承受可能的業(yè)務(wù)中斷

根據(jù)《2022年Microsoft數(shù)字防御報告》1顯示，落實簡單的安全衛(wèi)生措施便可阻止98%的網(wǎng)絡(luò)攻擊，這些措施包括：

·淘汰過時的應(yīng)用、設(shè)備以及基礎(chǔ)設(shè)施

·啟用多因素身份驗證(MFA)

·使用現(xiàn)代反惡意軟件

·定期更新固件和軟件可持續(xù)消除漏洞（最為重要）

固件攻擊是當今企業(yè)面臨的最大風險之一，不法分子可以通過筆記本電腦、打印機、路由器等設(shè)備不受限制地訪問企業(yè)網(wǎng)絡(luò)，且不易被檢測。

為了應(yīng)對網(wǎng)絡(luò)攻擊，安全決策者正在大力投資軟件安全，包括防火墻和數(shù)據(jù)加密、入侵檢測和攻擊預(yù)防。然而，忽視硬件的脆弱性可能讓所有努力付之東流。

典型的安全基礎(chǔ)架構(gòu)由多個層級組成，這些層級協(xié)同工作，共同保護企業(yè)的資產(chǎn)、數(shù)據(jù)及運作。

·策略、職能、職責、標準和最佳方案

·用戶的身份管理、權(quán)限和身份驗證

·對網(wǎng)絡(luò)、數(shù)字資源、有形財產(chǎn)和辦公空間的訪問

·提供加密、監(jiān)控和病毒防護的技術(shù)、硬件和軟件

通過筆記本電腦、平板電腦、智能手機或IoT設(shè)備等物理設(shè)備在硬件層面達不到標準，會向上影響其它層級，致使原本應(yīng)受保護的數(shù)據(jù)和網(wǎng)絡(luò)被惡意訪問。

舊設(shè)備無法抵御新威脅

設(shè)備選擇變得至關(guān)重要

除了固件攻擊外，針對遠程管理設(shè)備的攻擊也日益增加。包括筆記本電腦、攝像頭和智能會議室系統(tǒng)在內(nèi)的設(shè)備，可能通過開放的端口泄露信息并被黑客利用。近期的一項研究2發(fā)現(xiàn)：針對IoT/OT的攻擊類型中有46%來自遠程管理設(shè)備。

為了最大限度地降低固件、操作系統(tǒng)和云端應(yīng)用受到攻擊的風險，微軟設(shè)計了商用Surface設(shè)備，從底層架構(gòu)開始便將零信任原則根植其中，安全和IT決策者們可以放心地將資源投入到應(yīng)對未來攻擊的策略和技術(shù)上，而不是疲于抵擋當下網(wǎng)絡(luò)威脅的攻勢。

微軟Surface商用設(shè)備從固件到操作系統(tǒng)再到云端的每一層級都由微軟維護，并以此推進基礎(chǔ)安全衛(wèi)生措施。Surface商用設(shè)備、Windows 11和Microsoft 365 均采用零信任原則進行安全和風險管控，幫助企業(yè)在不犧牲創(chuàng)新力或生產(chǎn)力的前提下，實現(xiàn)復原能力。

使用商用Surface的企業(yè)遇到安全事件的數(shù)量減少可達34%，同時響應(yīng)安全事件所花費的時間也相應(yīng)減少3。使用Surface商用設(shè)備的用戶遇到安全漏洞數(shù)量減少可達20%3。

Surface商用設(shè)備的安全性

從硬件、固件、系統(tǒng)直達云端

安全性措施從硬件開始：

TPM 2.0作為安全保險庫，用于存儲密碼、PIN碼和證書，防止硬件被篡改，并限制僅授權(quán)人員可以訪問。

Windows Hello for Business作為無密碼安全登錄的工具，可通過紅外攝像頭傳感器提供安全級別最高的生物識別功能。由于生物識別的不可復制性，進一步限制了可訪問用戶。

可拆卸固態(tài)硬盤4被運用在大多數(shù)Surface商用設(shè)備上，確保在特殊情況下（如售后維修、離開公司環(huán)境等）設(shè)備中的敏感數(shù)據(jù)也能受到保護。

固件管控為安全加鎖：

Surface商用設(shè)備的UEFI完全由微軟開發(fā)，不依賴第三方源代碼。UEFI和DFCI可以通過Microsoft Intune 對固件進行精準管控。DFCI不僅可以禁用不必要的硬件組件來減少攻擊面，并減少對本地UEFI(BIOS)密碼的依賴性。還可以關(guān)閉啟動項，防止用戶啟動另外的操作系統(tǒng)。

Windows 11提供開箱即用的安全性：

VBS（常稱為內(nèi)核隔離）利用硬件虛擬化技術(shù)，創(chuàng)建隔離的環(huán)境來進行敏感的安全操作，防止惡意軟件進入系統(tǒng)內(nèi)存。即使威脅獲得了訪問系統(tǒng)資源的權(quán)限，HVCI（又稱內(nèi)存完整性）也可以限制并遏制惡意軟件的影響。

預(yù)裝Windows 11的Surface商用設(shè)備從出廠便啟用安全功能。在生物識別登錄前，安全啟動（Secure Boot）不僅能確保固件與出廠時一樣真實可信，還能與可信啟動（Trusted Boot）共同防止啟動期間加載惡意軟件或運行損壞的組件。

系統(tǒng)啟動后，BitLocker加密可以有效地限制訪問，防止設(shè)備丟失、被盜或停用時數(shù)據(jù)泄露。

Surface管理門戶

讓遠程設(shè)備管理簡單又安全

商用Surface不僅內(nèi)置了完善的安全體系，還提供了一整套基于云的遠程終端管理解決方案——Surface管理門戶。這是一套內(nèi)置于Micrsoft Intune 中的功能，旨在應(yīng)對大規(guī)模管理和配置用戶、應(yīng)用和設(shè)備時所面臨的挑戰(zhàn)。當企業(yè)擁有遠程管理設(shè)備安全性的能力時，不僅可以為IT團隊節(jié)省大量的時間，還可以減少固件攻擊或勒索軟件攻擊的可能性，并在問題嚴重前即使補救。

設(shè)備是用戶訪問企業(yè)數(shù)據(jù)和信息的門戶，也是安全威脅首當其沖的目標。將部分安全軟件投資轉(zhuǎn)向安全設(shè)備的投資，將構(gòu)建安全防御的策略轉(zhuǎn)向構(gòu)建網(wǎng)絡(luò)復原能力策略。這是微軟提供給各位決策者應(yīng)對當下安全局勢行之有效的解決方案。

某些功能需要軟件許可證。單獨出售

1.https://www.microsoft.com/zh-cn/security/business/microsoft-digital-defense-report-2022

2.https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5e93n

3.https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE55ZJ0

4.客戶可更換組件（CRUs）是指可通過Surface商用授權(quán)設(shè)備經(jīng)銷商購買的組件。組件可以由熟練的技術(shù)人員按照微軟服務(wù)指南在現(xiàn)場更換。維修可能會用到Microsoft工具（另售）。拆開和/或修理您的設(shè)備都有導致觸電、火災(zāi)和/或人身傷害的風險和其他危險。如果自行維修，請務(wù)必小心。維修期間造成的設(shè)備損壞不在Microsoft硬件保修或保護計劃范圍內(nèi)?？筛鼡Q組件和服務(wù)選項的適用性可能會因市場不同和/或產(chǎn)品發(fā)布初期而存在差異。