微軟在今年9月的Ignite IT大會上特別著重於資訊安全性議題,包括針對企業推出WDATP(Windows Defender Advanced Threat Protection)雲端資安處理系統,並且首次宣布WDAG(Windows Defender Application Guard)都是為了更強化作業系統的安全性。不過,這些名詞也讓很多人感到很困惑,這麼多安全功能,到底有什麼不同呢?
其實長期以來,包括在Windows 7的時期,當時就推出了Microsoft Security Essentials,乃至到Windows 10現在大家都知道的 Windows Defender。Windows甚至還有內建防火牆,還有上網保護的SmartScreen,這些都是一般消費者在Windows裡頭可以看到與安全相關的功能。不過,相信很多使用者雖然每天看到這些工具,卻心中不免都有個疑慮:這些功能到底安不安全?
在這次我們趁著微軟在台比舉辦Microsoft Tech Summit的期間,約訪到微軟總部負責Windows企業端的產品經理 Heike Ritter ,來談論微軟為什麼這麼注意資安、推出了這麼多資安防護的服務,以及釐清其中一些功能的名詞以及作用。
什麼是WDATP(Windows Defender Advanced Threat Protection)?
不過,在進入採訪主題之前,我們先來解釋一下什麼是WDATP。
Windows Defender Advanced Threat Protection,縮寫WDATP,字面上意思就是Windows Defender進階威脅防護。簡單的來說,就是可以偵測網路上任何針對企業網路的入侵以及功能,是一套偵測防禦的服務。這個服務主要是用來讓企業的IT人員知道,公司的網路面臨了哪些來自網路上的威脅以及入侵活動。
要注意的是,WDATP並不是殺毒軟體,它並不會去針對系統的病毒進行清除的動作。它的功能就是偵測、找出威脅,提供給IT人員參考。
WDATP服務包含了以下三個主要特色:
- 客戶端:建立在Windows 10周年更新中的終端行為感測器,可以紀錄非常詳盡的安全性事件以及各種行為。這個系統完全與Windows 10作業系統整合在一起,不需要額外設定,而且會隨時保持最新版本,同時也是針對各種低預算族群設計。
- 雲端安全性分析服務:結合了來自超過10億台Windows裝置、250萬兆網路索引地址、以及無數的可疑檔案及行為,用以偵測類似的匿名行徑、病毒、及攻擊。這項服務安裝於微軟的Big Data平台,並結合了Indicators of Attacks (IOAs)、行為信號、及機器學習。使用者也可以上去觀看登錄的終端系統狀況。
- 微軟與社群威脅情報:微軟的研究員不斷的在研究分析數據、辨識新的行為模式、還有透過現有的IOCs(Indicators of Compromises),也就是過去的攻擊事件,把已蒐集的資料互相關聯起來
WDATP的運作程序如下:
- 偵測進階攻擊:提供關鍵資訊包含誰攻擊了電腦、以及這個攻擊是如何發生的。
- 回覆建議:安全系統的資料會讓專業人員更容易去調查各種警訊、探索整個網路以找尋攻擊的徵兆、檢視攻擊者在特定裝置上的攻擊行為,然後組織就可以得到一份完整的足跡報告以及建議的因應措施。
- 補足微軟進階威脅防禦系統:因為WDATP內建於Windows 10系統內,並由雲端操控,各種可疑行徑與電腦攻擊的資料都會上傳到雲端上,並補足資料庫,讓安全維護人員可以盡早發出電腦安全性更新。
值得注意到的是,這些功能你可以在防毒軟體廠商提供的企業服務看到,但是在防毒軟體公司,他們是用一整間公司的資源投入到防毒的工作,並且還有專門的人員進行分析。但是以過去微軟給人作業系統的印象,不免讓人懷疑微軟到底投入了多少資源在進行這個工作?微軟的偵測功能可靠嗎?
▲Heike Ritter表示,微軟投注了超過每年10億美元的經費,在提升Windows 10的安全性上。
Heike Ritter解釋,其實微軟在幾年前就意識到,Windows必須要做到絕對的安全,才能夠讓客戶信任。早期Microsoft Security Essentials剛推出的時候,微軟還在學習階段,但他們很努力在提升自家的能力。一直到現在,微軟已經有一整個龐大的團隊負責資訊安全的提升,每年更是投注超過10億美元在提升用戶的系統安全提升上。
除此之外,微軟最大的優勢就是全球的Windows用戶,這些用戶每天使用微軟回傳的安全數據,數量是任何防毒軟體公司用戶比不上的。而微軟背後有專業團隊,蒐集來自微軟所推出的各種服務回收得來的數據,研究各種產品的漏洞,一有進展就推播通知給使用者,要求使用者更新安全定義,讓產品使用更安全。
從企業的觀點來看,Windows 10的安全性比Windows 7好嗎?為什麼?
至今依然還有許多公司在使用Windows 7、Windows 8,甚至感覺系統很穩定,因此很多企業可能有一個共同的問題:如果現有的系統很穩定的話,為什麼要升級到Windows 10?
Heike Ritter說明,比起消費端來說,其實企業更應該升級到Windows 10。主因還是因為現在網路環境的安全性問題。她也說明,這並不是說Windows 7、Windows 8的設計就不安全,這兩個系統在「當時」推出的時候來說,是安全的。可是這幾年來網路的威脅性變化太多,包括零時漏洞攻擊、勒索軟體的橫行,在幾年前所設計出來的系統,其實已經無法因應這些變化。
至於為什麼Windows 10比起那些舊版本來說更安全,Heike Ritter說明,並不是因為今天微軟推出了一個WDATP的服務,或是單一個Windows Defender軟體的功能,就告訴消費者說Windows 10比較安全。
Heike Ritter再度提及了「Windows as Service」的概念,她表示在開發Windows 10的時候,Windows 10已經成為一個與過去架構完全不同的系統,Windows隨時會針對現有的威脅推出功能上的更新,「安全」靠的不只是WDATP、Windows Defender這些單一服務的協助,而是由眾多安全服務組成的一個Windows 10系統。這也是為什麼消費者會發現,Windows 10的更新變得比以前版本更頻繁的緣故。
WDATP可以有效防止勒索軟體,但是他並不是殺毒軟體
據微軟的觀察,端點仍舊是許多IT人員心目中最脆弱的部分,這樣的疑慮應該要歸咎於近年來非常猖獗的Advanced Persistent Threats(進階持續性威脅,APTs),這類攻擊會先潛伏於企業體內部,悄悄收集資料,最後盜取或是破壞公司系統。
傳統的解決方案把重點放在事前措施(Pre-breach measures)上,諸如:提供威脅抵禦還有威脅鎖定的安全機制、作業系統的強化、虛擬及實體補丁、或是化身為守門員的角色,檢視所有檔案還有掃描電腦找出可疑內容並立即隔離,這些方法都是為了防止駭客進入電腦中。但是,上有政策,下有對策,駭客總會找到通往你的電腦的各種路線。
這時就該思考事後對策(Post-breach measures)了。跟事前對策不一樣,事後對策假想電腦已經遭受攻擊,然後記錄下一切,像是病毒從何發出、攻擊何處、安全機制如何抵禦攻擊、後續影響等等。想像一下,APT會先偵查你的電腦,然後躲在你的電腦中,並找出重要的資料,最後竊取資料並癱瘓電腦。而採取事後對策就能把這一切記錄下來,並將這些資料呈交給專業人員,讓專業人員找出攻擊的模式,並藉以更加提升系統的安全性。
Heike Ritter再一次強調,WDATP並不是殺毒軟體,它並不會去針對系統的病毒進行清除的動作。它的功能就是偵測、找出威脅,提供給IT人員參考。
Heike Ritter解釋,WDATP與Windows Defender性質完全不一樣,而且提供服務的對象也不一樣。Windows Defender是只要使用Windows系統就會有的服務,但WDATP是針對企業客戶推出的服務,建立在Windows 10企業版E5上。而Windows Defender可以算是主動式的防範,但WDATP偏向補救式檢討,透過兩者相輔相成,可以提供企業客戶更強大的安全保護力。
裝了Windows Defender,就可以取代所有的防毒軟體?
Windows隨著每一代的推出,都有不同名稱的電腦安全防護機制,像是在Windows 7上的Microsoft Security Essentials,到Windows 8及10的Windows Defender。
儘管微軟不斷針對安全性進行提升,但從消費者的角度而言,「Windows系統容易中毒」這個觀念似乎已經根深蒂固了,而Windows使用者也已經習慣在電腦中安裝各種防毒軟體,有時一個不夠,還會安裝至少兩個以上的防毒軟體,就深怕電腦一不小心成為駭客下手的目標。
▲Windows 10的安全防護機制包含多種層面,從防火牆到瀏覽器的防護都做到最完善。
那麼,相信很多消費者心中也有一個疑問,我光是使用Windows 10的Defender,是不是就不用安裝防毒軟體了呢?
Heike Ritter表示,答案:是也不是。
原因就在於前面她說明的,Windows 10的安全性,是來自於所有相關的安全功能所組成的,這不是靠單一的一個Windows Defender或是單一的防火牆,就能做到的一件事。一台電腦的安全防護機制非常複雜也非常多元,Windows Defender只是其中一個,用來偵測電腦中有無可疑的元件,或是抵禦病毒的攻擊。更何況,現在網路的威脅,早已經不僅僅只有病毒而已了。
像是平台的建構、生物辨識系統、各種事前事後抵禦措施、以及安全性認證等等,這些都是整個Windows 10系統為了安全而設計的功能。其他還包含像是在Windows 10平台建構時就以虛擬安全性(Virtualization Based Security)確保電腦中敏感的資料跟元件,與作業系統中的其他東西分開來。在Windows 10上,有幾個關鍵的功能可以促成此種安全性措施,像是Virtual TPM、Device Guard還有Credential Guard。
而Heike Ritter也並非空口無憑,從業界的測試當中,Windows Defender的病毒偵測率已經達99.8%。從微軟的角度來看,Heike Ritter非常有自信的說,只要電腦中的Windows Defender有正常啟用,就不用過度擔心電腦被病毒攻擊,至於其他防毒軟體,則可以做為電腦安全防護的另一道門。
WDAG又是什麼?Edge瀏覽器的沙箱防護
Windows Defender Application Guard,簡稱WDAG,在Ignite大會上宣佈,主打提升Edge瀏覽器的安全性。WDAG使用虛擬化的安全技術,保護其不受網路上的進階攻擊,協助防護企業裝置、員工、資料、甚至是公司網路。而這一層級的防護在現今尤其重要,因為大多數的攻擊始於瀏覽器。
▲搭配Windows Defender Application Guard,Edge瀏覽器的安全性可再向上提升,就算不幸被惡意軟體攻擊,也能確保影響不會擴散至整個系統。(圖片:微軟)
不同於一般瀏覽器使用的是軟體沙箱(software-based sandboxes),惡意軟體與弱點攻擊仍有途徑可下手,Microsoft Edge採用Application Guard來隔離瀏覽器與員工的活動,透過hardware-based container以確保惡意程式碼不會影響到裝置及擴散至企業網路。
Heike Ritter解釋,WDAG就像是替Edge建立一個沙箱,把Edge放在裏頭,包含Edge上運行的各種元件,如果哪天用戶不小心打開了一個可疑網站,就算不幸被病毒攻擊,也不會跑出盒子外,意思就是整個作業系統不會因此癱瘓,有點像是沙箱作業。同理,這個軟體也可以應用在其他作業程式或是瀏覽器上,對企業來說,可以利用WDAG來保護公司的各種系統,政府機關也可以用來阻擋外來駭客的入侵。
▲Windows Defender Application Guard就像一個箱子,把攻擊的病毒或軟件全部鎖起來,不會影響到電腦其他部分。(圖片:Winbeta)
企業管理者可設定可信任網路的網站清單規則(trusted network site list policy),同時傳送其群組使用規則至任一台啟動Application Guard保護的裝置上。即使一個非信任網站成功加載了惡意軟體,此惡意軟體也無法觸及擴散至隔離容器(isolated container)之外去偷取資料或永久損害裝置或網路。員工只要離開Microsoft Edge瀏覽器頁面,任何惡意軟體便會被抹除而無法繼續進行進一步攻擊。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!