如今,幾乎每家企業(yè)都在面臨安全風(fēng)險(xiǎn)。混合辦公模式加劇了對(duì)遠(yuǎn)程管理設(shè)備的攻擊次數(shù)。
根據(jù)《2022年Microsoft數(shù)字防御報(bào)告》1顯示,在2021年5月至2022年5月期間,遠(yuǎn)程管理設(shè)備遭受的攻擊次數(shù)增加了五倍。網(wǎng)絡(luò)攻擊預(yù)計(jì)給企業(yè)造成的平均損失高達(dá)424萬(wàn)美元1。
安全風(fēng)險(xiǎn)
無(wú)處不在,與日俱增
隨著網(wǎng)絡(luò)攻擊場(chǎng)景與日俱增,有遠(yuǎn)見(jiàn)的技術(shù)管理者不會(huì)只局限于安全防御,還要確保企業(yè)能夠在威脅發(fā)生時(shí)做出充分響應(yīng),并在威脅發(fā)生后盡快恢復(fù)。他們會(huì)致力于構(gòu)建網(wǎng)絡(luò)復(fù)原能力策略,幫助企業(yè)在應(yīng)對(duì)安全風(fēng)險(xiǎn)時(shí)能快速恢復(fù),并迅速發(fā)展。
想要獲得網(wǎng)絡(luò)復(fù)原能力,就需要?jiǎng)?wù)實(shí)地看待網(wǎng)絡(luò)安全問(wèn)題。假設(shè)安全防御被攻破是不可避免的,也就是所謂的“假設(shè)性妥協(xié)”。這是一種重要的思維轉(zhuǎn)變,需要業(yè)務(wù)關(guān)聯(lián)者、IT專家、領(lǐng)導(dǎo)者、以及安全專家一同建立緊密的合作。倡導(dǎo)安全優(yōu)先的思維方式,選擇有復(fù)原能力的技術(shù)方案,采用零信任原則,并在流程和工作中構(gòu)建安全措施,讓每個(gè)人都參與進(jìn)來(lái),保障業(yè)務(wù)的安全。那么,如何獲得這種能力呢?
投資具有網(wǎng)絡(luò)復(fù)原力的技術(shù)
以承受可能的業(yè)務(wù)中斷
根據(jù)《2022年Microsoft數(shù)字防御報(bào)告》1顯示,落實(shí)簡(jiǎn)單的安全衛(wèi)生措施便可阻止98%的網(wǎng)絡(luò)攻擊,這些措施包括:
·淘汰過(guò)時(shí)的應(yīng)用、設(shè)備以及基礎(chǔ)設(shè)施
·啟用多因素身份驗(yàn)證(MFA)
·使用現(xiàn)代反惡意軟件
·定期更新固件和軟件可持續(xù)消除漏洞(最為重要)
固件攻擊是當(dāng)今企業(yè)面臨的最大風(fēng)險(xiǎn)之一,不法分子可以通過(guò)筆記本電腦、打印機(jī)、路由器等設(shè)備不受限制地訪問(wèn)企業(yè)網(wǎng)絡(luò),且不易被檢測(cè)。
為了應(yīng)對(duì)網(wǎng)絡(luò)攻擊,安全決策者正在大力投資軟件安全,包括防火墻和數(shù)據(jù)加密、入侵檢測(cè)和攻擊預(yù)防。然而,忽視硬件的脆弱性可能讓所有努力付之東流。
典型的安全基礎(chǔ)架構(gòu)由多個(gè)層級(jí)組成,這些層級(jí)協(xié)同工作,共同保護(hù)企業(yè)的資產(chǎn)、數(shù)據(jù)及運(yùn)作。
·策略、職能、職責(zé)、標(biāo)準(zhǔn)和最佳方案
·用戶的身份管理、權(quán)限和身份驗(yàn)證
·對(duì)網(wǎng)絡(luò)、數(shù)字資源、有形財(cái)產(chǎn)和辦公空間的訪問(wèn)
·提供加密、監(jiān)控和病毒防護(hù)的技術(shù)、硬件和軟件
通過(guò)筆記本電腦、平板電腦、智能手機(jī)或IoT設(shè)備等物理設(shè)備在硬件層面達(dá)不到標(biāo)準(zhǔn),會(huì)向上影響其它層級(jí),致使原本應(yīng)受保護(hù)的數(shù)據(jù)和網(wǎng)絡(luò)被惡意訪問(wèn)。
舊設(shè)備無(wú)法抵御新威脅
設(shè)備選擇變得至關(guān)重要
除了固件攻擊外,針對(duì)遠(yuǎn)程管理設(shè)備的攻擊也日益增加。包括筆記本電腦、攝像頭和智能會(huì)議室系統(tǒng)在內(nèi)的設(shè)備,可能通過(guò)開(kāi)放的端口泄露信息并被黑客利用。近期的一項(xiàng)研究2發(fā)現(xiàn):針對(duì)IoT/OT的攻擊類型中有46%來(lái)自遠(yuǎn)程管理設(shè)備。
為了最大限度地降低固件、操作系統(tǒng)和云端應(yīng)用受到攻擊的風(fēng)險(xiǎn),微軟設(shè)計(jì)了商用Surface設(shè)備,從底層架構(gòu)開(kāi)始便將零信任原則根植其中,安全和IT決策者們可以放心地將資源投入到應(yīng)對(duì)未來(lái)攻擊的策略和技術(shù)上,而不是疲于抵擋當(dāng)下網(wǎng)絡(luò)威脅的攻勢(shì)。
微軟Surface商用設(shè)備從固件到操作系統(tǒng)再到云端的每一層級(jí)都由微軟維護(hù),并以此推進(jìn)基礎(chǔ)安全衛(wèi)生措施。Surface商用設(shè)備、Windows 11和Microsoft 365 均采用零信任原則進(jìn)行安全和風(fēng)險(xiǎn)管控,幫助企業(yè)在不犧牲創(chuàng)新力或生產(chǎn)力的前提下,實(shí)現(xiàn)復(fù)原能力。
使用商用Surface的企業(yè)遇到安全事件的數(shù)量減少可達(dá)34%,同時(shí)響應(yīng)安全事件所花費(fèi)的時(shí)間也相應(yīng)減少3。使用Surface商用設(shè)備的用戶遇到安全漏洞數(shù)量減少可達(dá)20%3。
Surface商用設(shè)備的安全性
從硬件、固件、系統(tǒng)直達(dá)云端
安全性措施從硬件開(kāi)始:
TPM 2.0作為安全保險(xiǎn)庫(kù),用于存儲(chǔ)密碼、PIN碼和證書(shū),防止硬件被篡改,并限制僅授權(quán)人員可以訪問(wèn)。
Windows Hello for Business作為無(wú)密碼安全登錄的工具,可通過(guò)紅外攝像頭傳感器提供安全級(jí)別最高的生物識(shí)別功能。由于生物識(shí)別的不可復(fù)制性,進(jìn)一步限制了可訪問(wèn)用戶。
可拆卸固態(tài)硬盤(pán)4被運(yùn)用在大多數(shù)Surface商用設(shè)備上,確保在特殊情況下(如售后維修、離開(kāi)公司環(huán)境等)設(shè)備中的敏感數(shù)據(jù)也能受到保護(hù)。
固件管控為安全加鎖:
Surface商用設(shè)備的UEFI完全由微軟開(kāi)發(fā),不依賴第三方源代碼。UEFI和DFCI可以通過(guò)Microsoft Intune 對(duì)固件進(jìn)行精準(zhǔn)管控。DFCI不僅可以禁用不必要的硬件組件來(lái)減少攻擊面,并減少對(duì)本地UEFI(BIOS)密碼的依賴性。還可以關(guān)閉啟動(dòng)項(xiàng),防止用戶啟動(dòng)另外的操作系統(tǒng)。
Windows 11提供開(kāi)箱即用的安全性:
VBS(常稱為內(nèi)核隔離)利用硬件虛擬化技術(shù),創(chuàng)建隔離的環(huán)境來(lái)進(jìn)行敏感的安全操作,防止惡意軟件進(jìn)入系統(tǒng)內(nèi)存。即使威脅獲得了訪問(wèn)系統(tǒng)資源的權(quán)限,HVCI(又稱內(nèi)存完整性)也可以限制并遏制惡意軟件的影響。
預(yù)裝Windows 11的Surface商用設(shè)備從出廠便啟用安全功能。在生物識(shí)別登錄前,安全啟動(dòng)(Secure Boot)不僅能確保固件與出廠時(shí)一樣真實(shí)可信,還能與可信啟動(dòng)(Trusted Boot)共同防止啟動(dòng)期間加載惡意軟件或運(yùn)行損壞的組件。
系統(tǒng)啟動(dòng)后,BitLocker加密可以有效地限制訪問(wèn),防止設(shè)備丟失、被盜或停用時(shí)數(shù)據(jù)泄露。
Surface管理門(mén)戶
讓遠(yuǎn)程設(shè)備管理簡(jiǎn)單又安全
商用Surface不僅內(nèi)置了完善的安全體系,還提供了一整套基于云的遠(yuǎn)程終端管理解決方案——Surface管理門(mén)戶。這是一套內(nèi)置于Micrsoft Intune 中的功能,旨在應(yīng)對(duì)大規(guī)模管理和配置用戶、應(yīng)用和設(shè)備時(shí)所面臨的挑戰(zhàn)。當(dāng)企業(yè)擁有遠(yuǎn)程管理設(shè)備安全性的能力時(shí),不僅可以為IT團(tuán)隊(duì)節(jié)省大量的時(shí)間,還可以減少固件攻擊或勒索軟件攻擊的可能性,并在問(wèn)題嚴(yán)重前即使補(bǔ)救。
設(shè)備是用戶訪問(wèn)企業(yè)數(shù)據(jù)和信息的門(mén)戶,也是安全威脅首當(dāng)其沖的目標(biāo)。將部分安全軟件投資轉(zhuǎn)向安全設(shè)備的投資,將構(gòu)建安全防御的策略轉(zhuǎn)向構(gòu)建網(wǎng)絡(luò)復(fù)原能力策略。這是微軟提供給各位決策者應(yīng)對(duì)當(dāng)下安全局勢(shì)行之有效的解決方案。
某些功能需要軟件許可證。單獨(dú)出售
1.https://www.microsoft.com/zh-cn/security/business/microsoft-digital-defense-report-2022
2.https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5e93n
3.https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE55ZJ0
4.客戶可更換組件(CRUs)是指可通過(guò)Surface商用授權(quán)設(shè)備經(jīng)銷商購(gòu)買的組件。組件可以由熟練的技術(shù)人員按照微軟服務(wù)指南在現(xiàn)場(chǎng)更換。維修可能會(huì)用到Microsoft工具(另售)。拆開(kāi)和/或修理您的設(shè)備都有導(dǎo)致觸電、火災(zāi)和/或人身傷害的風(fēng)險(xiǎn)和其他危險(xiǎn)。如果自行維修,請(qǐng)務(wù)必小心。維修期間造成的設(shè)備損壞不在Microsoft硬件保修或保護(hù)計(jì)劃范圍內(nèi)??筛鼡Q組件和服務(wù)選項(xiàng)的適用性可能會(huì)因市場(chǎng)不同和/或產(chǎn)品發(fā)布初期而存在差異。