微軟在Build 2024大會上,揭露他們實行未來安全計畫(Security Future Initiative)半年來的經驗,特別是如何從午夜暴雪(Midnight Blizzard)、XZ Utils等資安事件中學習和觀察到的重要做法,如使用系統託管身分識別工具、刪除70多萬個未使用的應用程式和加深跨部門資安文化等。
大會上,微軟開發者部門總裁Julia Liuson和微軟威脅情資部門客戶副總裁John Lambert共同說明,他們如何聯手實現AI安全與資安目標,以及計畫實踐以來學習到的寶貴經驗。進一步來說,Julia Luison的團隊負責開發,打造不少全球廣泛使用的開發者工具,像是Visual Studio Code、Visual Studio和GitHub等產品。John Lambert除了帶領威脅情資團隊,還是傑出的資安專家。自去年底以來,他們密切合作,「尤其在過去3個月來,我們一起工作的頻率比過去10年還要高,」John Lambert形容。
這是因為,一如Satya Nadella在大會首日透露的,為實現AI安全與資安,微軟去年11月底發起未來安全計畫,遵守安全設計(Security by design)、安全預設(Security by default)和安全維運等3大原則。在這3個原則下,有6項安全文化和治理作法,包括保護身分和秘密、保護租戶和獨立產品系統、保護網路、保護工程系統、監控與偵測威脅,以及加速因應和恢復。(如下圖)
而Julia Liuson和John Lambert特別聚焦與開發者息息相關的2項作法,也就是保護身分和秘密、保護工程系統。
從午夜暴雪學習到的經驗1:使用對的工具
John Lambert表示,現在的企業組織遭受威脅者(Threat actors)攻擊的頻率更勝以往。比如光是去年,微軟就發現密碼相關的攻擊就增加了10倍以上,達到300億次,估算可造成8兆美元的損失。而微軟的任務,就是要阻攔威脅者行為,並在去年追蹤到300多次威脅。(如下圖)
他繼續指出,駭客最普遍的攻擊目標是訊息,且駭客攻擊的思維是找到一個破口後延伸擴散。「他們鎖定信任鏈和存取轉接點;我常說防禦者用清單思考,攻擊者用圖學(Graphs)思考。午夜暴雪(Midnight Blizzard)就是其一。」
午夜暴雪是俄羅斯的駭客組織,專門攻擊政府和IT企業(如下圖),微軟自己就曾遭受攻擊。John Lambert表示,午夜暴雪的圖學攻擊策略是獲取憑證,因此他們鎖定開發者,想得到開發者憑證,並用這些憑證建立攻擊圖,進而掌握公司機密。
為防止開發者不小心在Email或原始程式碼中洩漏秘密,微軟建立了GitHub Advenced Security工具來掃描秘密,這就是前述所提到的保護身分和秘密的一種作法。Julia Liuson表示,他們與客戶部門在GitHub Advanced Security開啟秘密掃描時,幾乎100%的客戶發現其原始程式碼中存在一些秘密,甚至有時候第一次掃描就發現數千個秘密。
但這個掃描工具也有缺點,就是它可能無法識別每個秘密,而且這些秘密沒有明確特徵,也很難被辨識。因此,使用系統託管的身分識別(System managed identities)工具就很重要,它不只能自動更換授權所需的關鍵資訊、降低人工成本,還能快速回應。這是微軟從午夜暴雪事件學習到的重要一課。
「我們希望所有應用程式都受到系統託管身分識別的保護,」Julia Liuson繼續說明:「長期而言,我們希望不再使用任何密碼。」如此,開發者就不會不小心把這些秘密資訊遺留在原始程式碼中,或Email給他們的朋友,也不必再定期更換密碼。
但她也直言這個目標不容易實現,尤其許多雲端解決方案仍強調使用密碼,這是整個IT產業普遍存在的問題。微軟也正努力改善自家工具,讓工具的使用更簡單、更自然,讓開發者不會注意到系統託管身分識別工具正在執行,「這才是真正需要安全第一的文化變革之處;要在安全第一的條件下,兼顧生產力和簡單性。」她說。
從午夜暴雪學習到的經驗2:保護工程系統
除了秘密資訊,保護工程系統也很重要。John Lambert指出,午夜暴雪曾攻擊一家德州企業SolarWinds,在他們產品開發的過程中植入後門,想透過滲透軟體供應鏈,來接觸到最終的客戶企業。這個例子凸顯了保護工程系統的重要性,這也是微軟未來安全計畫的6項安全文化和治理作法之一。
微軟如何保護工程系統?首先,他們刪除了70多萬個未使用的示範(demo)應用程式、範例應用程式和測試應用程式,也刪除了許多與這些應用程式有關的儲存庫和建置流程。因為,只要還有憑證、還能存取資源,就會被威脅者所利用。
因此Julia Liuson總結,有2個非常重要的經驗教訓,可改善整體安全維運環境,首先就是從所有工程系統中,刪除不需要的應用程式,再來是以對待正式上線程式的嚴格標準,來對待非正式上線的示範、範例和測試等3類應用程式。這也是微軟未來安全計畫的重要任務之一。
開源生態圈也是攻擊目標,推動培訓提高安全文化
除了企業內部的工程系統,Julia Liuson還點出另一個常被攻擊的目標,也就是開源開發生態系。這類攻擊大多是社交工程,今年上半年就有個XZ Utils開源專案的例子,威脅者多年來一直在這個專案植入後門,這些後門只讓XZ Utils執行速度慢了些,很難讓人察覺問題。
但,微軟PostgreSQL開發者Andres Freund在進行回歸測試時發現了速度變慢的問題,一番研究之後,確認XZ Utils資料壓縮程式庫被植入後門,並點出這是一場供應鏈攻擊事件,引發全球性的調查。
「雖然微軟並未受到這個後門的影響,但這是安全文化發揮作用的好例子,」John Lambert說。微軟除了時時檢視現有的OSS管理系統是否夠好、足以防禦資安攻擊,也將自己的經驗整合到GitHub Advenced Security工具相依性檢視中。比如,他們利用GitHub軟體專案相依性自動管理工具Dependabot,來警示開發者哪些儲存庫正使用有漏洞的軟體,並協助開發者解決問題。
不單靠工具發出警報通知,Julia Liuson認為,正確的安全文化也很關鍵,「微軟和整個產業都需要文化變革,培養安全第一的文化。」尤其是透過培訓,來提高團隊對充滿不確定性的資安意識,同時保有好奇心與創意。她也表示,微軟將繼續改善自家系統和工具,並優化客戶部門的程式碼和工作流程,提高整體安全性。
