【創科廣場】網絡攻擊日趨轉型 Microsoft防禦手段與時並進

數碼化帶來大量的商機，同時令網絡犯罪和攻擊肆虐。建立網絡信任（Trust）成為了最大的課題之一。近年Microsoft投入大量研發資源，並有愈來愈多安全相關組織，經費每年超過10億美元，多項產品登上了研究機構的領導位置。

Microsoft 全球聘用超過3500名全職網絡安全專家，可能是全球最大的安全團隊，以AI工具分析，包括先進Graph Security，分析連接數據點之間的關係，從而推測攻擊的可能性，Microsoft每日從全球蒐集達8兆訊號，尋找網絡攻擊各種綫索。

如果說，Microsoft是全球最大的安全情報網絡，相信絕不為過。

Microsoft投資在人工智能，分析全球從雲端和流動設備的威脅，並且成立數碼罪案小組（DCU），在全球30多個國與執法調查單位合作。迄今DCU成功瓦解了18個殭屍網絡。

Microsoft也在亞太區投資5個網絡安全中心，分別位於中國、印度、韓國、日本及新加坡。不過，部分攻擊屬於國家級，更難於防範。Microsoft網絡安全Field CTO外展技術總監Diana Kelley表示，過去一年，不少企業開始注重數據保護，加密的勒索軟件大幅下降，不過仍有大量網絡攻擊，針對盜用身分，網絡保安紛紛動用人工智能（AI）作保護偵察，其網絡攻擊的黑客，亦已大規模利用AI去作武器，惡意程式更難於發現。

身分管理或最後防綫

Kelley說，不少專家相信，黑客已開始部署AI惡意程式，攻擊更難於偵察。反制這些AI驅動的惡意程式，必須有較更大運算力，從雲端蒐集更大量情報，保安專家也利用AI和機器學習，基於更多風險評估因素去偵察不尋常的活動。

另一個攻擊趨勢，則是通過供應鏈發展攻擊；例如透過企業的系統供應商，更新系統軟件，又或者在硬件內，偷偷加上惡意程式和後門。

企業數碼設備愈來愈多，製造業供應鏈複雜。估計2022年前，約半數企業產生的數據，都會在數據中心或雲服務以外環境作處理，加上有不少過期軟件，可能有大量漏洞、缺乏保護設備，愈來愈多，不少沿用原廠設定登入資訊，更容易遭受入侵。

「企業必須整合方案，才能抵禦從供應鏈發動攻擊，其中一個方法，就是加強身分和登入的管理；包括保護用戶登入身分，並以基於用戶風險水平，來控制資源存取，例如按時間和地點賦予不同權限，通過某個角色的不同位置，調整存取權利。」

Microsoft結合Azure身分管理（ Identity Management），可以在任何地判斷某個身分登入的風險水平，另外，亦可通過多重因素驗證，以不同方法確定用戶的身分。

不少企業邁向混合雲，公有雲亦成為企業須防守保安邊界，未來網絡安全最大的挑戰。企業的保安邊界，隨着數據分散不同地點，加上配置了混合雲，數據資源的位置變得模糊；不可能在所有保安邊界上，配置防火牆作為防禦。

故此，傳統保安設備己不能完全保障用戶，不同雲端保護方案，亦應運而生。

Microsoft就開發了以Azure雲服務為基礎的SIEM方案Sentinel，可迅速從雲端接收大量信息，又投資在Cloud Access Security Broker （CASB）產品Microsoft Cloud App Security，實時檢視雲算運算上流經的所有內容。

不少企業開始認為，投資在傳統防火牆等設備，並不足以提供保護，必須配合雲端的情報，任何保安方案須與雲服務結合，從Microsoft的產品發展，可見雲端保安產品，未來會愈見流行。

零信任大勢所趨

傳統防禦以保安邊界（Perimeter），界定保護範圍。隨着邊界的概念衰落，業界興起了零信任（Zero Trust），亦所有網絡連接，皆假定為不安全，必須進行驗證。即使是身分用戶，也不能單靠密碼。

零信任已經成為保安業界共識，實踐之餘，如何不影響用戶體驗，又是另一挑戰。

Kelley表示，國家資助的網絡攻擊出現，也成為網絡保安最逼切的議題。Microsoft威脅情報中心（Threat Intelligence Center）已確認全球有110個涉及惡意程式的活動組織。上述組織也不斷干擾選舉活動，甚至體育活動，今年10月，Microsoft發現名為Strontium組織，2020年東京奧運會的前夕，針對全球的16個運動組織和禁藥藥檢組織發動攻擊。

Kelly則表示，關鍵在企業是否能主動認識攻擊形勢的變化，數碼化技術不斷演進，不能墨守成規，須與時並進。

全文刊於《星島日報》「創科廣場」