微软实时网络安全威胁防御战

在Black Hat 2025大会上，微软详细阐述了如何智胜全球顶级黑客的策略。从打破信息孤岛到构建实时威胁反馈循环，微软威胁情报、事件响应和狩猎团队的负责人揭示了他们如何作为统一阵线运作，以超越诸如Star Blizzard和Mint Sandstorm等恶意行为者。其结果是一个为速度、规模和精度而构建的系统。

微软事件响应高级总监Andrew Rapp表示：“我们明确知道各自的角色和职责，就像共享一个中枢神经系统。”这种协调水平并非偶然，而是多年优化、实战压力和深度实践文化的产物。

入侵前的“肌肉记忆”训练

在微软的世界中，事件响应早在警报触发之前就已开始。它始于明确定义的角色、反复的演练以及许多组织仍回避的艰难对话。

微软安全客户成功与事件响应企业副总裁Aarti Borkar强调，仅有计划是不够的。团队必须反复演练，直到计划成为第二本能。“不断练习，直到完美，”她说，“让他人进行入侵评估。在陷入危机之前就知道要做出哪些决策。”

这种准备远不止技术手册。她指出，高效的团队准备好在压力下管理法律、监管和高管决策。微软的团队为此对齐训练，目标是创建Borkar所说的“润滑良好的机器”，响应者凭本能行动。

然而，这种协调水平仍是例外而非常态。Rapp指出，许多公司在计划与执行之间存在常见脱节。“只有26%的组织拥有事件响应计划并实际演练过，”他说，“这就像拥有健身房会员却从未去过。”没有练习，即使最完善的计划也会在压力下崩溃。

微软希望每个组织知道的要点

所有准备在事件发生时立即见效。当微软介入活跃入侵时，没有时间浪费。如今的威胁行为者移动速度比以往任何时候都快。

微软威胁情报策略总监Sherrod DeGrippo表示：“驻留时间过去以月甚至年计。”她指的是威胁行为者首次获得网络访问权限到被检测或移除之间的时间段。她补充道：“现在，我们谈论的是72分钟（的驻留时间）。”

这种紧迫性要求情报、狩猎和响应团队之间的实时协调。微软的内部反馈循环像接力赛一样运作。威胁情报分析师如Simeon Kakpovi绘制更广泛的对手图景，然后将快速、可操作的见解传递给事件响应者。

Kakpovi说：“我们整理速查表交给这些家伙，这让他们缩短发现对手行为所需的时间。”复杂攻击者会做足功课。他们知道谁有访问权限、网络如何结构以及哪些资产最重要。通常，当防御者意识到发生什么时，入侵者已经掌握了王国的钥匙。这就是为什么微软的团队训练得像敌人一样思考。

DeGrippo说：“威胁行为者以图思考，防御者以列表思考。你必须像攻击者一样思考才能击败他们。”这种心态，加上不懈的准备和机器级移动能力，使微软能够在威胁扩散之前阻止它们。这不仅关乎响应，还关乎预期、精度和确保对手没有第二次机会。