こんにちは、村木ゆりかです。 微软公司拥有约15万名员工,分布在100多个国家,内部IT环境(Microsoft IT)中约有60万台设备。内部IT环境采用最先进的软件和技术,在物理和IT系统层面都实施了最新的安全措施。
正因为拥有如此先进的内部环境,经常有人问:“微软应该不会感染病毒吧?” 不,并非如此。实际上,在2015年下半年,内部环境检测到约200万次病毒,并确认了41起感染事件。
微软的恶意软件感染情况
关于病毒等恶意软件(恶意软件)的感染,首先,2015年下半年约有200万次恶意软件检测报告。这些是已知恶意软件,已被定义文件检测并阻止。
此外,还有尚未反映在定义文件中的新型恶意软件。在这种情况下,恶意软件首次侵入终端时不会被检测到,而是在定义文件更新后的定期扫描等时机被检测到。此类案例在2015年下半年共有41起感染事件。在这些感染案例中,防恶意软件的实时保护等功能会将其作为“可疑行为”阻止,或其他Windows缓解功能及Windows Defender Advanced Threat Protection等入侵检测系统也会阻止威胁。
2015年7月~12月按类型分类的感染数量
(图表数据略)
2015年7月~12月按文件类型分类的感染数量
(图表数据略)
不偏重防恶意软件的多层防御
如果无法将恶意软件感染降至零,那么防护软件就没有意义——绝非如此。防恶意软件作为防止设备入侵的第一道防线发挥着重要作用。同时,它还承担着检测并清除恶意软件的重要角色。事实上,在微软内部IT环境的例子中,约200万次是已知恶意软件,多亏防恶意软件正常运行,才成功阻止了入侵。
另一方面,在日益复杂的攻击中,攻击者会预先配置以避免防恶意软件检测,然后发起攻击,因此仅靠防恶意软件技术无法完全防御。这就是微软环境中41起感染案例的原因。
为了高效实施对策,重要的是理解防恶意软件的运行状况和效果,并在此基础上,以未知病毒感染入侵为前提,将安全措施“多层化”。微软分析了这41起感染事件是如何发生的,以及如何防止感染导致的损害,并将其纳入多层防御。微软内部IT环境中实施的多层安全措施示例如下:
- 使用最新版本的软件,应用安全更新程序,保持最新状态
- 微软产品和非微软产品均保持最新状态
- 使用Active Directory集中管理用户和设备,利用组策略、Intune应用更新程序,启用防火墙和SmartScreen等安全功能
- 运行防恶意软件
- 启用Windows 10的Windows Defender Cloud Protection,设置以实时获取最新定义文件
- 使用入侵检测系统
- 利用Windows Defender Advanced Threat Protection(Windows 10),及早检测并应对防恶意软件未检测到的威胁
- 评估使用可能成为攻击入口的技术(如Java、Flash)的必要性,并最小化使用
- 使用AppLocker禁止安装点对点(P2P)软件和其他不良软件
- 对重要系统应用漏洞缓解工具(Enhanced Mitigation Experience Toolkit (EMET)),缓解未知漏洞攻击手法
- 不仅实施强密码策略,还根据需要实施多因素认证、智能卡认证,保护凭据
- 启用Windows Management Framework 5.0中PowerShell v5的安全功能
- Script Block Logging
- System-Wide Transcripts
- Constrained PowerShell
- Anti-malware integration (AMSI)
不单纯追求“零”的安全措施
微软内部IT环境的安全措施目标不是将可能附有恶意软件的定向邮件的打开率降至零,或将防恶意软件的运行率提至100%以实现病毒感染率为零。
例如,2015年下半年,平均每月约有98%的设备以最新状态运行防恶意软件,但在拥有60万台设备的组织中,始终追求100%从成本和实际运营角度看是不现实的。我们认识到一定比例的用户(在Microsoft IT中约为2%)可能持有不合规设备,并旨在通过多层防御减轻由此带来的风险。
攻击者的目标不是让恶意软件感染,而是利用恶意软件等方法窃取信息、获取金钱。因此,我们防御方的目标也是阻止攻击者达成目标,即尽可能防止因安全侵害导致的信息泄露,并在实际发生侵害时将损害降至最低。
为此,重要的是衡量防恶意软件的效果如何,通过正确实施基本措施的效果,并规划以必要入侵为前提的对策。微软认为,不应仅局限于防恶意软件,或为每个措施设定统一的数值目标,而是应俯瞰整体运营和对策,确定现实目标,进行分析并定期审查,从而实施对策。
本次介绍的微软内部恶意软件感染情况在《安全情报报告》中有所介绍。敬请阅读,希望能为您的IT管理提供参考。