微软是世界上受攻击最多的公司之一,身为微软的网络安全负责人,Bret Arsenault 深知这一点。
那是 2021 年 6 月的一个晚上,凌晨 4 点,Brett Arsenault 突然被手机铃声惊醒。
一场后来被称为“NotPetya”的网络攻击已经开始锁定乌克兰境内的电脑,导致不少电脑被强制锁定。
起初,这看起来像是一次普通的勒索软件攻击,在这种攻击中,企业可以靠付费打开被锁定的电脑。但 NotPetya 似乎与众不同——它像蠕虫病毒一样快速传播,受到攻击的公司很快发现:根本没有协商解锁金额的机会,他们无法继续操作电脑。
Arsenault 在了解情况后迅速与东欧和美国的员工通了电话。他要求工作人员在 10 分钟内切断乌克兰的访问路径,以阻止恶意软件从乌克兰的微软办公室扩散出去。
工作人员说他们不认为病毒会这么快扩散出去,但 Arsenault 一再坚持,工作人员才终于执行了指令。
“如果你的决定是正确的,他们会说这是你职责所在;如果做错了,你就会被解雇。”Arsenault 表示:“所以我的团队从不认为有什么是‘小问题’,这可能是这份工作最难的部分,既不能过于兴奋,又不能反应太迟钝。”
Arsenault 的工作可能是世界上最难的,因为他要对全球最大的科技公司之一的董事会负责,这家公司为全球大多数其他公司提供无处不在的产品和软件。
但 Arsenault 说,他从 NotPetya 事件以及微软每年发生的其他 6.5 万亿次事故中吸取的教训,是可以被那些规模小得多的企业甚至个人学习并加以应用的。
而这些经验中,Arsenault 认为最重要的一个是:超越对密码的依赖。
微软和它的客户一样,总是会被被垃圾邮件、诈骗和钓鱼软件 / 链接淹没。Arsenault 说,这些常见的东西仍然构成了大多数攻击的主体。
他说,基于电子邮件和基于密码的攻击是从最简单的欺诈到最复杂、最多方面的黑客攻击的基础。
“多年前我们都宣称,身份认证将成为新的边界。人们非常注重利用身份认证,但这已经成为一个经典案例:黑客不会选择入侵,而会直接登录受害者的 ID。我认为这对我们来说是一件非常非常重要的事情。”
“密码喷涂”是一种传统的攻击方法,攻击者试图使用一些最常用的密码同时访问大量帐户。它简单但有效,特别是在没有其他方法对员工进行身份验证的情况下。
一旦攻击者能够使用一个常用密码通过一个员工身份访问网络,他就可以开始进行更具破坏性的工作,比如窃取公司信息或冒充员工进行金融诈骗。
Arsenault 说:“到目前位置,我们仍然看到很多人试图使用密码喷涂进行攻击。防止密码喷涂的最好方法就是删除密码。如果你有密码,你就必须启用多元素身份验证。”——也就是说,使用密码和另一种形式的身份验证相结合,比如随机发送给用户手机的一组号码。
“我们看到的是:很多很多人都只专注于消去这个向量,而不是。”
Arsenault 说,90% 的微软员工无需密码就可以登录公司网络。这反映了微软多年来支持的“无密码的未来”,这一做法也以产品为后盾,让消费者不用再回想那一连串令人头疼的代码。
相反,微软员工使用多种其他登录选项,包括 Windows Hello 和 Authenticator 应用程序,后者提供了人脸识别和指纹等其他登录选项。
微软是少数几家希望彻底消除密码的公司之一,其他科技巨头也在努力帮助客户减少对密码的依赖。
例如,谷歌一直在测试更强大的减肥替代品,比如 USB 密钥卡,它可以插入客户的电脑,并为登录提供第二个身份验证。谷歌去年表示,这种方法确实降低了了员工被钓鱼攻击的成功率。
在去年收购了双因素认证初创企业 Duo 之后,思科也在致力于创造一个超越简单密码的未来。
对于那些对身份、密码和员工权限有着严格规定的公司来说,网络安全高管很难做出任何改变。Arsenault 说,这就是组织结构应该发挥作用的地方。
对于网络安全高管来说,有一种常见的说法是:在一些数据的支持下,他们的任期通常会持续大约三年,而且往往在公司遭遇黑客入侵时结束。
Arsenault 的任期要长得多:他从 1990 年起就在微软工作,从 2009 年起担任 CISO(首席信息安全官)。他说,许多公司对网络安全的短期思考可能会因为 CISO 的短期任期而加剧。与高层管理人员,尤其是董事会建立长期联系,对于应对新威胁所需的快速变革至关重要。
他还指出,微软在科技公司中采用了一种流行的安全模式:联邦网络安全。这意味着微软的每一款产品都有自己的网络安全主管,更专注于在特定产品中构建安全性,并应对客户的问题。
“我们有一个类似于 red-teaming 的联合模式。”Arsenault 说。red-teaming 指的是允许有道德的黑客积极攻击公司的网络和产品,以检测缺陷的过程。“我们还做了第三层外部威胁测试,针对‘未实现的’威胁,或者那些看起来像是我们想要解决的问题。他说,通过这种方式,公司可以预测下一次像 NotPetya 这样的大规模攻击,并在攻击发生之前找出应对措施。