微軟可信計算備忘錄20年:安全到底有多少改變?
責編:gltian |2021-10-22 14:05:36
近二十年前,時任微軟總裁比爾·蓋茨撰寫了他著名的可信計算備忘錄,敦促他的公司出品更安全的軟件。
蓋茨寫道:“最終,我們的軟件應該從根本上保證安全,讓客戶根本無需擔心安全問題。”這一目標可謂雄心勃勃。然而,經過多年努力,仍然沒有任何軟件真正實現了這一點。甚至在軟件工程師努力提升產品的同時,新一波安全威脅已然出現。
微軟企業與Windows安全總監Dave Weston表示:“我認為,即使在比爾·蓋茨的宏偉愿景中,當時也很難有人能預見到我們會遭遇高端黑客國家隊破解SWIFT銀行系統代碼,更沒人能想到可以通過擦除硬盤來破壞石油生產。如今的威脅景象,已經遠超科幻小說或者間諜小說所能預測的范疇。”
他承認,作為一名“行業專家”,自己驚訝于當今攻擊的復雜性。
“(這些攻擊的)廣度和復雜程度不斷加深安全工作的趣味。從來不會感到單調乏味。”
Weston指出:“十五年前,我們覺得這些攻擊者基本上是腳本小子:周末窩在父母地下室里搞惡作劇的小孩子。不過,這都是十五年前的老黃歷了。現在的情況是,當年的腳本小子已經變成了在軍工綜合體上班的人,坐在辦公室里工作。對比非常鮮明。”
“面對這樣的情況,我們的處境有沒有更好一點呢?我會毫不含糊地說,沒錯。二十年前,漏洞利用程序的價格還很便宜。如今,說起Windows 10或Windows 11,或者各種瀏覽器,那你基本上是在討論花個幾百萬美元來買一個漏洞利用程序。”
Weston表示,其中的差別就在于操作系統層面上的防御水平。“如今能夠攻擊Windows PC的人數比十年、十五年前少了,我覺得這本身就是一種勝利。”
不斷上升的威脅水平是個問題,但科技安全規則自身也在快速變化。
在2002年蓋茨撰寫這份備忘錄的時候,安全的關注點全都放在軟件上:他甚至都沒有提到硬件或者CPU。如今,隨著零日漏洞利用程序、熔斷(Meltdown)/幽靈(Spectre)等CPU攻擊的增多,Windows安全也越來越重視硬件了。
例如,在Windows 10和Windows 11中,微軟引入了與英特爾共同開發的安全緩解技術——控制執行技術(CET)。Weston表示,CET是一種片上技術,旨在抵御幾種最常見的攻擊方式,比如面向返回的編程。英特爾第11代芯片或AMD Zen 3 CPU上都可以啟用這種技術。
基于虛擬化的安全,也就是微軟所謂的VBS,通過強化Windows內核安全來限制WannaCry勒索軟件攻擊中所用的技術。
Windows 11還承諾通過減少配置Windows端點所需的工作量,促進實現“零信任”目標(拜登政府正在推動的無邊界網絡概念)。
但是,正如Weston所強調的那樣,企業將需要衡量確定是升級硬件并遷移到Windows 11,還是重新配置只在Windows 10下使用的PC和服務器。在Windows 11上,安全配置不需要耗費管理員太多精力;使用Windows 10,他們同樣可以營造相同級別的安全性,但需要做更多的工作。
采用零信任模式的企業假定其邊界已經被突破。這類企業還認識到,需要在公司配備的主機和員工擁有的設備上保護好網絡內外的數據。在疫情迫使更多人遠程工作之后,零信任變得更加重要了。
然而,Weston認為,如果有合適的新硬件,采用Windows 11確實可以讓安全工作更容易推開。
他表示:“只要硬件合適,我們一直在努力確保在符合硬件基線的情況下默認打開某些功能。我們期望從最近的驅動程序和硬件部件中獲得一定水平的性能和可靠性。這讓我們更有信心默認開啟更多功能。這就是所謂的硬件適合零信任的情況。”
但客戶又會不會被硬件拋下呢?
Weston堅稱:“答案肯定是‘不會’。”
他認為,即使企業希望繼續使用Windows 10,許多功能(如Windows Hello、基于虛擬化的安全和安全引導[Secure Boot])也仍然可用,用戶只需開啟并評估自己的環境即可。
“只要硬件到位,你就可以安裝Windows 11,這很簡單。即使你沒有這樣的硬件,或者正在謀劃未來,你也仍然可以參與所有這些安全基線:通過采用我們的免費安全基線并將其應用到Windows 10級別的硬件上。你可能需要初步分析一下性能權衡,這稍微有點難,但肯定可以做到。”
微軟已經將2025年10月14日定為Windows 10補丁的終止日期。Weston認為,用戶仍然可以將Windows 10配置到滿足Windows 11標準的程度,而且他樂觀斷言,到2025年,大多數企業應該都已經更新了大部分硬件。
他表示:“到2025年,當絕大多數企業的更新周期結束時,轉向Windows 11的理由就更充分了,因為到那時,Windows 11應該已經歷經兩到三次安全增強,我們認為這可以提供實質性的價值主張。”
“我的建議是:如果你出于硬件原因需要繼續使用Windows 10,沒問題;請遵循我們的Windows 11安全指南,并將其應用到Windows 10。最好在你的更新周期和安全預算中做好規劃,從而購入合適的硬件,順利升級到Windows 11,因為如果你在Windows 10上停留太久,我們就要開始介紹專門針對Windows 11的東西了——相信我,我們后續還要推出很多東西,我們希望獲得這一安全價值的客戶能夠盡可能多。這與我們從Windows 7到Windows 10的過渡非常相似:只要你能做到這一點,就能獲得更好的安全性。”
比爾·蓋茨可信計算備忘錄:
https://www.wired.com/2002/01/bill-gates-trustworthy-computing/
來源:數世咨詢