從左到右：李亮（主持人）、張美波、蔣濤、韋青

　　掃描上方二維碼直達(dá)精彩回顧

　　全球數(shù)字化轉(zhuǎn)型浪潮不斷推進(jìn)下，企業(yè)上云步伐加快，在這個過程中不少企業(yè)發(fā)現(xiàn)，隨著 IT 基礎(chǔ)設(shè)施逐漸云化，云改變企業(yè)的底層基礎(chǔ)設(shè)施架構(gòu)，安全也隨之往云化，傳統(tǒng)安全架構(gòu)不再適用于云上。

　　伴隨AI、云計算等前沿技術(shù)的發(fā)展，外部安全攻擊趨于智能化、復(fù)雜化、規(guī)模化，云上防護(hù)的方式變得更多元化、復(fù)雜化，部署強(qiáng)大的安全架構(gòu)是企業(yè)迫在眉睫的事。那么在具體實現(xiàn)時，企業(yè)如何加強(qiáng)自身的云安全防御架構(gòu)？

　　8 月 11 日，由 CSDN、微軟聯(lián)合重磅打造，致力于用「用技術(shù)驅(qū)動商業(yè)變革」的《刷新 CTO》第五期，圍繞《重新定義云時代企業(yè)安全，你 Get 到了嗎？》為話題，首次走近微軟數(shù)字安全中心，盛邀 CSDN 創(chuàng)始人&董事長、極客幫創(chuàng)投創(chuàng)始合伙人蔣濤，微軟（中國） 首席技術(shù)官韋青，微軟企業(yè)服務(wù)大中華區(qū) Cybersecurity 首席架構(gòu)師張美波，在微軟大中華區(qū) Microsoft 365 高級產(chǎn)品市場經(jīng)理李亮的支持下，共同探討云時代下，企業(yè)如何搭建安全防護(hù)？

　　點(diǎn)擊視頻觀看精彩瞬間：（文末將有小視頻揭曉神秘的微軟數(shù)字安全中心哦~）

　　李亮（主持人）：如今我們談的“安全”與 5~8 年前的“安全”有很大差別，在您看來現(xiàn)代安全和傳統(tǒng)安全有什么區(qū)別？

　　韋青

　　韋 青：微軟在 Windows 時代，安全就是核心話題，但那個時代的安全，是具備一定確定性的，也就是說我們還是大致知道“敵人”是誰，安全威脅可能會從哪個門進(jìn)來，我們先把這個門修好或城墻加固。

　　如今進(jìn)入云原生時代，我把它稱為“確定性的終結(jié)”。安全的領(lǐng)域，變得越來越復(fù)雜，需要我們改變思路，以“復(fù)雜系統(tǒng)論”的角度重新審視安全的定義和相關(guān)的策略。

　　其實我們現(xiàn)在所處的時代主旋律就是不確定性，是復(fù)雜的、混沌的，系統(tǒng)中各個元素以及系統(tǒng)與系統(tǒng)之間不斷融合、涌現(xiàn)，其本質(zhì)就是“不確定的”。這種不確定性，也表現(xiàn)在其他領(lǐng)域，比如物理領(lǐng)域從“確定的”牛頓物理進(jìn)入介于“確定與不確定”之間的量子物理，產(chǎn)品開發(fā)從“固定的”瀑布式開發(fā)進(jìn)入“動態(tài)迭代”的敏捷式開發(fā)，人工智能領(lǐng)域從符號主義進(jìn)入聯(lián)結(jié)主義，也就是從認(rèn)為世界現(xiàn)象是可預(yù)判的“還原論”進(jìn)入認(rèn)為世界現(xiàn)象是復(fù)雜的“整體系統(tǒng)論”。因此，在這個萬物互聯(lián)的時代，當(dāng)有人在不加前提約束的條件下簡單問“你的系統(tǒng)安全否？”就變成一個偽命題。在這樣一個復(fù)雜的動態(tài)環(huán)境下，對系統(tǒng)安全的定義必須基于“零信任”，也就是先預(yù)判肯定會有問題，隨時會動態(tài)、隨機(jī)地出現(xiàn)新的威脅和漏洞，一個系統(tǒng)的安全能力需要表現(xiàn)為能夠隨時、高效地應(yīng)對“不確定”安全威脅的能力，而不是死板的預(yù)先設(shè)定能夠防衛(wèi)哪種威脅。

　　微軟有一個說法“Azure as the world’s computer”，Azure實際就是一個管理遍布全球電腦的操作系統(tǒng)，集數(shù)據(jù)的采集、傳輸、存儲、計算、應(yīng)用、展現(xiàn)、通訊和交互于一體。這么龐大復(fù)雜的架構(gòu)，使我們根本不能簡單依靠人的經(jīng)驗預(yù)判哪里會有“敵人”入侵，只能憑靈活多變、實時的反應(yīng)機(jī)制，并且基于大數(shù)據(jù)的機(jī)器學(xué)習(xí)能力，建立起一個安全、合規(guī)的基礎(chǔ)架構(gòu)。所謂的“確定性”沒有了，我們不是要預(yù)先搭建一個“固若金湯”的系統(tǒng)，而是在零信任基礎(chǔ)上，不斷地搭建一些技術(shù)來保證動態(tài)反應(yīng)，系統(tǒng)可隨時應(yīng)對外界的安全變化。

　　蔣濤

　　蔣濤：隨著網(wǎng)絡(luò)邊界和企業(yè)業(yè)務(wù)的滲透，企業(yè)在數(shù)字化后將會發(fā)現(xiàn)安全有可能存在巨大的潛在風(fēng)險和問題。

　　一是企業(yè)代碼擁有不同的開源庫，開源庫里本身可能存在安全隱患，二是程序員或第三方開發(fā)商開發(fā)的代碼，大部分公司沒有一套安全檢測手段來做安全檢查，很多企業(yè)的安全監(jiān)測尚處于初級的階段。

　　兩位微軟安全專家曾撰寫過書籍《編寫安全的代碼》，通過大量的實例和代碼，詳細(xì)地分析說明了編寫安全應(yīng)用程序的方方面面，提供許多實用技術(shù)內(nèi)幕。

　　從這我們看到，程序員需經(jīng)過基礎(chǔ)培訓(xùn)從而來寫出安全代碼。但在現(xiàn)實中，近乎 99.9%的程序員沒經(jīng)歷過安全代碼的培訓(xùn)，公司也沒有配備上線前的安全檢測，甚至大部分企業(yè)沒有配置專門的安全工程師。這些公司基本處于完全不設(shè)防的狀態(tài)，這是件非�？膳碌氖虑�。

　　企業(yè)往往在遇到安全問題后才想到防范，這跟人生了病才會去看醫(yī)生一樣，平常讓他注重健康，他便不以為然。

　　現(xiàn)在大多數(shù)人停留在點(diǎn)上：代碼是否安全、數(shù)據(jù)是否安全、帳戶是否安全。但安全是“系統(tǒng)”工作，如果有一個地方有漏洞，其他的沒什么價值。

　　從企業(yè)的角度上，他們面對這樣的變化需要在思維上做怎樣的轉(zhuǎn)變？

　　蔣  濤：企業(yè)需要做一些安全培訓(xùn)課程。開發(fā)者寫安全代碼是基礎(chǔ)部分，同時將安全工具化作為上線的第一層檢測，每個公司需要做代碼靜態(tài)分析。其次，幫助業(yè)務(wù)和運(yùn)營人員建立基礎(chǔ)安全知識，大部分老板沒有這種意識。

　　張美波：蔣老師說的是“安全左移”，為什么稱為“左移”？軟件有規(guī)劃、設(shè)計、構(gòu)建、測試、部署階段，但往往在軟件的部署階段，我們再去評估安全性，這是非常不好的。如今我們想從開始規(guī)劃、設(shè)計、構(gòu)建、階段時就該考慮安全性。

　　張美波

　　張美波：從兩個維度來看：一是企業(yè)在數(shù)字化轉(zhuǎn)型中基礎(chǔ)技術(shù)架構(gòu)變化；二是目前面臨的安全威脅和攻擊行為的變化。

　　在企業(yè)數(shù)字化轉(zhuǎn)型后，原來企業(yè)以網(wǎng)絡(luò)為邊界，如今隨著企業(yè)規(guī)模越來越大，網(wǎng)絡(luò)架構(gòu)越來越復(fù)雜，隨著移動互聯(lián)的發(fā)展，企業(yè)邊界已逐漸變大。再加上云計算，企業(yè)的數(shù)據(jù)和應(yīng)用已慢慢地移出網(wǎng)絡(luò)邊界，進(jìn)入到 Internet 上。假如這個企業(yè)是做物聯(lián)網(wǎng)的，那基本就沒有邊界了。

　　所以就會遇到這樣的問題：原來是依賴于網(wǎng)絡(luò)為邊界，分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，普遍認(rèn)為內(nèi)部網(wǎng)絡(luò)是可信的。如今由于邊界模糊了，不能再把網(wǎng)絡(luò)作為安全邊界，零信任架構(gòu)應(yīng)運(yùn)而生。

　　零信任架構(gòu)的核心是把防控策略下沉，從原來以網(wǎng)絡(luò)為邊界、到現(xiàn)在以用戶身份驗證憑據(jù)為邊界，下圖是微軟的零信任架構(gòu)圖，首先是身份驗證，還有利用網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、基礎(chǔ)架構(gòu)等六個核心的資源組進(jìn)行不同的防控。

 

　　李亮（主持人）

　　李亮（主持人）：現(xiàn)在一些企業(yè)固有的傳統(tǒng)觀念里認(rèn)為上云后不安全，內(nèi)心不免有些抵觸，關(guān)于云和自建平臺誰更安全的問題，您怎么看？

　　蔣濤：大部分公司沒有安全系統(tǒng)，即使采購安全系統(tǒng)也是小量。而每一家云公司肯定是被攻擊最厲害的，從云系統(tǒng)來看，他們是安全的。

　　隨著國家對數(shù)據(jù)、系統(tǒng)安全的要求越來越嚴(yán)格，肯定是上云后將更安全。把數(shù)據(jù)放在自建平臺就好比放在家里，你以為屋子沒有漏洞，但對專業(yè)選手來說全部都是破洞，可能對他來說，就是沒有圍墻的院子可隨便來逛。

　　張美波：這也可以用“錢分別放在銀行和家里”來做比喻。從專業(yè)性上看，云廠商的安全加固措施、安全防護(hù)措施會更加完善，只是我們擔(dān)心數(shù)據(jù)會不會被它拿走，而微軟云強(qiáng)調(diào)透明性、隱私保護(hù)和安全性。

　　在云計算時代，安全廠商、云計算廠商和客戶是共享責(zé)任。即便我們使用的是云上的 IaaS、PaaS、SaaS 服務(wù)，但并不意味著企業(yè)和客戶把相應(yīng)的安全責(zé)任轉(zhuǎn)移給云廠商。云廠商更多的是提供技術(shù)層面的武器，但是如何利用好這技術(shù)，這是企業(yè)的責(zé)任，需從企業(yè)安全架構(gòu)層面、從安全實現(xiàn)技術(shù)路線上來做分析。

　　韋青：我們要把安全與可信和可控分開來看。如果純粹從安全，從 Safety、Security 來講的話，像剛才蔣老師說的，一定是云計算公司較安全。這和游戲升級打怪一樣，打了幾百億的“怪”生存下來的人，肯定是最厲害的人。

　　但是否可信？這不只是技術(shù)問題，而是由法律、法規(guī)來決定，可控也是由法律、法規(guī)來決定。

　　我們需將安全、可信和可控分開，廠商做廠商的事，我們廠商不斷通過打怪來提高自己的能力，可信則需要更高層的法律制度來約束。

　　以前大家習(xí)慣購買一個產(chǎn)品，現(xiàn)在買產(chǎn)品形式的越來越少，而是購買服務(wù)。一旦采購的是服務(wù)，本身使用服務(wù)的人就是產(chǎn)品的一部分了，兩者的概念不一樣。

　　張美波：我們企業(yè)從底層轉(zhuǎn)型時，對應(yīng)的安全架構(gòu)也在轉(zhuǎn)型，安全是任何技術(shù)的基礎(chǔ)。即使技術(shù)做得再好，如果沒有安全的話，系統(tǒng)像建在沙灘上的城堡，隨時可能會倒。很多企業(yè)沒有這個意識，一般想的是眼前解決業(yè)務(wù)問題。

　　一般企業(yè)IT需關(guān)注三個方面：安全、用戶體驗和功能，要做到三者平衡很難，通常只能平衡兩個。說得難聽點(diǎn)，安全是 cost，并不會帶來實際的收入。

　　張美波：之前 Windows XP 被攻擊很多，2002年，比爾·蓋茨建立了可信計算，從那時起微軟所有產(chǎn)品是按照 SDL（Security Development Lifecycle，軟件安全開發(fā)周期）流程來構(gòu)建，SDL 是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的管理模式。

　　微軟是 SDL 的發(fā)明者，也是 SDL 的最佳實踐者，并且很多國際客戶按照 SDL 標(biāo)準(zhǔn)進(jìn)行實施。如今微軟提出新標(biāo)準(zhǔn) SDL+DevSecOps，擁有八個環(huán)節(jié)，每個環(huán)節(jié)里都將安全集成進(jìn)去：

　　李亮（主持人）：微軟這樣描述自己的軟件開發(fā)生命周期：從第一行代碼開始我們考慮安全的設(shè)計。今天不光是微軟，任何從事云、傳統(tǒng)軟件、硬件、物聯(lián)網(wǎng)、數(shù)據(jù)平臺等研發(fā)工作時，我們需要不斷地將這個理念植入到整體的思維方式里。

　　張美波：微軟本身有很龐大且復(fù)雜的云時代安全商業(yè)架構(gòu)，軟件開發(fā)對我們來講是基礎(chǔ)，所以它在最底下部分，基礎(chǔ)是 SDL。其架構(gòu)非常龐大，基本囊括微軟所有和安全相關(guān)的產(chǎn)品。

　　左邊是客戶端部分，微軟強(qiáng)調(diào)是統(tǒng)一的客戶端，不僅是 Windows 客戶端，還有蘋果、安卓、Linux 都屬于左邊部分內(nèi)容。

　　中間部分涉及到微軟 IaaS 和 PaaS，包括混合云部分，涉及到很多具體的功能。

　　下邊部分是世界級 IoT 物聯(lián)網(wǎng)的安全部分，微軟有物聯(lián)網(wǎng)安全架構(gòu)和物聯(lián)網(wǎng)的成熟度模型，并擁有國際化標(biāo)準(zhǔn)，一些國內(nèi)廠商是直接引用該標(biāo)準(zhǔn)。

　　右邊是信息保護(hù)部分，微軟擁有完整的數(shù)據(jù)生命周期的，即從數(shù)據(jù)開始創(chuàng)建到銷毀結(jié)束這個完整的數(shù)據(jù)生命周期，里面涉及到 AIP、SaaS 等產(chǎn)品。

　　還有關(guān)于身份驗證防控部分，擁有 AzureAD 等技術(shù)。

　　左上角部分是很容易被別人忽略掉，大家通常認(rèn)為安全是做加固的，而微軟認(rèn)為安全是有生命周期：事前的安全加固、事中的安全監(jiān)測和事后的響應(yīng)。事中監(jiān)測和事后響應(yīng)依靠 SOC，這是最新的 Azure Sentinel 產(chǎn)品。微軟 SOC 基于Azure Sentinel 來實現(xiàn)，Azure Sentinel 集成很多安全系統(tǒng)，如 ATP、AzureAT、AzureSecurity Center，還有外部的各種第三方防火墻、網(wǎng)絡(luò)安全設(shè)備、IT及事件管理系統(tǒng)等。

　　我們有完善的系統(tǒng)集成能力，并依托 Security Graph 這個分析和 AI 能力實現(xiàn)安全事件的自動響應(yīng)。

　　韋青：微軟每個員工都要通過一個 Microsoft 云計算的AZ-900考試。如今進(jìn)入云時代后，服務(wù)提供商或計算能力提供商和使用者的邊界消失，所以我們認(rèn)為安全是整個社會或者雙方責(zé)任，是共享責(zé)任。我們作為服務(wù)應(yīng)用提供商，有自己的安全責(zé)任邊界，作為用戶而言，同樣有自己需要負(fù)責(zé)的安全責(zé)任邊界。

　　以上述美波的戰(zhàn)略架構(gòu)圖為例，里面都用了“Graph”的概念，也就是“圖數(shù)據(jù)庫”，左邊、右下角都是 Graph，傳統(tǒng)數(shù)據(jù)庫和 Graph 的最大區(qū)別是，Graph 不單有節(jié)點(diǎn)，而且有關(guān)系，Graph能夠有效表達(dá)“點(diǎn)”與點(diǎn)和點(diǎn)之間的“關(guān)系”。由于現(xiàn)在是萬物互聯(lián)時代，所以微軟在搭建架構(gòu)時認(rèn)為在萬物互聯(lián)的安全語境范圍內(nèi)，每個人作為一個“點(diǎn)”都是“安全上下文語意條件下的一分子”，每個人可以為安全做貢獻(xiàn)，同時也可能是一個漏洞。

　　蔣濤：從企業(yè)的角度來看，我認(rèn)為現(xiàn)在比較需要有一個類似軟件成熟度 CMMI 的安全成熟度產(chǎn)品，就是根據(jù)企業(yè)性質(zhì)、企業(yè)數(shù)據(jù)、數(shù)據(jù)價值來設(shè)計相應(yīng)的安全等級，這個等級不是從保護(hù)角度來制定，而是從企業(yè)需求和商業(yè)價值的角度來。

　　從上面兩位嘉賓的介紹，現(xiàn)在微軟跟以前我們理解的微軟不太一樣，可能大多數(shù)人對微軟的認(rèn)知可能是 10 年前的微軟。

　　如今微軟在安全上投入巨大，我要請這個“安全保鏢”需花費(fèi)多少？作為管理者，我可能會考慮，其他軟件都是微軟的了，現(xiàn)在需不需要買個“全家桶”，那么有更優(yōu)惠的方案或者有自選方案嗎？

　　這是作為管理者關(guān)心的問題：第一有沒有等級標(biāo)準(zhǔn)，第二有沒有不同的方案選擇。

　　張美波：安全對微軟來講說是核心戰(zhàn)略方向，微軟 CEO 薩提亞·納德拉曾表示，我們承諾給客戶提供安全和隱私。

　　微軟不僅是全球第一流的IT企業(yè)，還是全球第一流的網(wǎng)絡(luò)安全企業(yè)。如今微軟每年投入超過 10 億美元進(jìn)行安全產(chǎn)品研發(fā)。從全球范圍看，不要說投入超過 10 億，安全行業(yè)收入超過 10 億可能就幾家企業(yè)。

　　其實對微軟而言，安全也是社會責(zé)任，微軟經(jīng)常聯(lián)合很多國家一起行動，和黑產(chǎn)抗?fàn)幍降祝航衲?月，微軟和一些國家政府聯(lián)合打破全球最大僵尸網(wǎng)絡(luò)；7月，微軟聯(lián)合國家政府組織一場針對 62 個國家的網(wǎng)絡(luò)欺詐攻擊。

　　今年，Gartner發(fā)布《Solution Comparison for the Native Security Capabilities 》報告，首次全面評估全球 TOP 云廠商的整體安全能力，其中微軟 Azure 獲得全球云廠商最多的 High 評分，位列第一。另外，微軟有 5 個安全產(chǎn)品和服務(wù)是處于 Gartner 領(lǐng)導(dǎo)象限。其中，Microsoft Defender 從落后到領(lǐng)先，一年半時間逆襲成為現(xiàn)在的領(lǐng)導(dǎo)者。

　　因為我們擁有微軟智能安全圖譜，這是全球最大的全情報平臺，擁有大數(shù)據(jù)、機(jī)器學(xué)習(xí)、人工智能、云計算應(yīng)用平臺，每月在設(shè)備檢測出的安全威脅數(shù)量超 50 億次，每月身份驗證請求數(shù)超過 5400 億次，這是非常龐大的數(shù)據(jù)。

　　我們把所有數(shù)據(jù)放到分析平臺上，通過機(jī)器學(xué)習(xí)進(jìn)行分析。首先，在上層我們從不同的渠道收集數(shù)據(jù)，數(shù)據(jù)經(jīng)過脫敏、處理、整理，通過大數(shù)據(jù)分析平臺反饋到產(chǎn)品上，產(chǎn)品層面同樣也會把數(shù)據(jù)反饋到 Graph 里相互迭代。

　　基于微軟強(qiáng)大的安全能力，如今微軟提供給大家一套安全套件 Microsoft 365，可覆蓋 85% 以上企業(yè)的 IT 和日常運(yùn)營場景。涵蓋 20+ 產(chǎn)品，從四個類別來做防護(hù)：一是身份與訪問管理；二是威脅保護(hù)與安全檢測；三是信息保護(hù)；四是安全管理與監(jiān)控。產(chǎn)品里面分等級，不同許可證里涵蓋的產(chǎn)品是不一樣的。

　　韋青：它無法用單一的“產(chǎn)品”來形容，它可稱之為“安全系統(tǒng)”，而不只是安全“產(chǎn)品”。

　　張美波：微軟把過去 20 年的網(wǎng)絡(luò)攻擊行為進(jìn)行分析，發(fā)現(xiàn)最早在 2004 年之前我們所面臨的攻擊行為主要是傳統(tǒng)老三樣：木馬、病毒、蠕蟲。從2005年開始，攻擊行為變成有組織的犯罪團(tuán)伙作案，不像傳統(tǒng)老三樣了，而是以金融、金錢為目標(biāo)，攻擊技術(shù)就變成金融欺詐、身份憑據(jù)竊取、勒索、挖礦等。

　　到了 2012 年，攻擊行為又進(jìn)化了，原來更多針對系統(tǒng)服務(wù)數(shù)據(jù)等，現(xiàn)在針對關(guān)鍵基礎(chǔ)設(shè)施、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等，涉及的安全從數(shù)據(jù)和服務(wù)上升到人身、國家、社會。所以現(xiàn)在全球國家把網(wǎng)絡(luò)安全放在較高的地位。

　　下面和大家分享微軟的客戶案例，六個 APT 組織攻擊某世界 500 強(qiáng)金融企業(yè)。一開始該企業(yè)發(fā)現(xiàn)自己被攻擊后，嘗試清除攻擊者，企業(yè)以為清除完成，但實際上沒清除好，該 APT 組織在企業(yè)系統(tǒng)潛伏了 8 個月。企業(yè)不得不尋求微軟的幫助，微軟安全專家只花了 3 天時間就把它清除掉，同時發(fā)現(xiàn)里面還有另外五個組織在潛伏。

　　所以在這里強(qiáng)調(diào)，網(wǎng)絡(luò)安全是社會責(zé)任的問題，去年微軟和合作伙伴成立了微軟智能安全聯(lián)盟，未來該聯(lián)盟應(yīng)聯(lián)合全球 133 家廠商的力量共同打擊黑產(chǎn)。

　　張美波：下面給大家看看，安全廠商是怎么實現(xiàn)安全技術(shù)，并映射到具體的企業(yè)場景里去。其中最典型的是，入侵者通過兩種途徑從內(nèi)部發(fā)起攻擊，一是用戶訪問 Web 網(wǎng)站受到攻擊，被裝上了漏洞軟件；二是釣魚郵件，91% 攻擊行為通過釣魚郵件發(fā)起，其中涵蓋惡意鏈接和惡意附件，緊接著系統(tǒng)客戶端被感染，被入侵者命令控制，這是非常常見的事。

　　下一步，入侵者先做環(huán)境偵測 ，竊取用戶身份憑據(jù)，緊接著在系統(tǒng)內(nèi)部做橫向移動，如拿到用戶名來攻擊電腦。當(dāng)拿到比較高級別帳號后攻擊系統(tǒng)。下一步，入侵者在系統(tǒng)里做持續(xù)保持和控制權(quán)，如系統(tǒng)后門木馬等，同時竊取機(jī)密數(shù)據(jù)，入侵者可潛伏很久，這是整個攻擊鏈模型。

　　在釣魚郵件層，通過Office 365 ATP（ATP是高級威脅保護(hù)套件）的郵件網(wǎng)關(guān)和高級反惡意鏈接工具來實現(xiàn)的。在使用 Office 365 時，可將惡意電子郵件、惡意鏈接直接封掉，保護(hù)用戶不受到攻擊影響。

　　在第二階段，通過 Micosoft Defender ATP 來實現(xiàn)對設(shè)備的保護(hù)。在身份驗證憑據(jù)和橫向移動層，通過 ATA、Azure ATP 企業(yè) APT入侵平臺來保護(hù)。對于身份驗證與憑據(jù)保護(hù)，通過 AzureAD 進(jìn)行保護(hù)。針對特權(quán)帳戶管理、高危操作、重大權(quán)限操作，需要審批流程才可以操作，而不是進(jìn)來直接可以做的。Conditional Access 也一樣，這是實現(xiàn)零信任訪問架構(gòu)的核心。

　　在數(shù)據(jù)保護(hù)上，我們做到全數(shù)據(jù)生命周期保護(hù)，如 PPT 文檔可加權(quán)限讓對應(yīng)的帳戶查看，同時設(shè)個權(quán)限有效期。整套解決方案是通過 Azure Security Center 和 Azure Sentinel 來實現(xiàn)安全態(tài)勢感知和 SOC 安全運(yùn)營中心，這是微軟供應(yīng)鏈模型和對應(yīng)的產(chǎn)品架構(gòu)。

　　蔣濤：在短期內(nèi)，企業(yè)系統(tǒng)處于“混合”狀態(tài)：一部分在云上（單云/多云），一部分在本地。在這種情況下，我們希望能有一套企業(yè)安全等級，不是最高級別到全系統(tǒng)級別的全防護(hù)策略，而是代碼、數(shù)據(jù)、災(zāi)備應(yīng)有一套安全監(jiān)測標(biāo)準(zhǔn)，將這些串成企業(yè)安全等級。

　　未來應(yīng)有一個安全藍(lán)圖，大家共同來描繪和參與其中。今天我學(xué)習(xí)到很多，之前認(rèn)為安全很重要，但沒意識到安全這么重要。另外，安全培訓(xùn)是企業(yè)重要的工作，如何通俗易懂地講給管理者、開發(fā)者、運(yùn)維人員是一件重要做的事情。每個公司都應(yīng)該交一個安全界的朋友，第一，讓對方幫忙監(jiān)測企業(yè)系統(tǒng)；第二，萬一企業(yè)出現(xiàn)安全事故后，需要請安全專家解決。

　　未來我們遇到的安全威脅將越來越多，未來將會出現(xiàn)兩種入侵者，一是專業(yè)級的選手，大部分公司不需要太擔(dān)心，他們可能會攻擊金融等重點(diǎn)領(lǐng)域。二是由于現(xiàn)在攻擊技術(shù)在平民化，可能出現(xiàn)一些“小毛賊”攻擊者，所以企業(yè)要具備底線，每位員工須接受企業(yè)安全技術(shù)培訓(xùn)。公司里不一定設(shè)有安全的工程師，但是一定會建立一套數(shù)據(jù)的安全守則。

　　張美波：《孫子兵法》里有兩句話我非常喜歡：“知己知彼百戰(zhàn)不殆”“用兵之法，無恃其不來，恃吾有以待之”，意思是我們要做好比較完善的防備，然后才能有備無患。

　　很多企業(yè)不知道自己有什么資產(chǎn)，甚至不知道哪些系統(tǒng)需要保護(hù)，我們需識別資產(chǎn)風(fēng)險，明確下來哪些東西需要保護(hù)，只有了解了目標(biāo)和方向后，才知道下一步應(yīng)往什么方向走。

　　韋青：今天微軟跟 CSDN 聯(lián)合舉辦《刷新 CTO》本期安全話題，希望能為大家打開一扇窗口，不要把安全當(dāng)成別人的事情，安全是你和我都相關(guān)的事情。如今每個人互相存在連接，有可能發(fā)生物理空間所有風(fēng)險原封不動搬到數(shù)字空間，希望大家借此機(jī)會對企業(yè)安全有所思考。

　　社會已進(jìn)入復(fù)雜系統(tǒng)時代，這是混沌、復(fù)雜、隨時涌現(xiàn)和融合的時代。我們把過去確定論的思想放下來，基于每家企業(yè)財力、能力的增加，慢慢擴(kuò)展安全技能。

　　李亮（主持人）：據(jù)統(tǒng)計，企業(yè)里有專門安全人員的比重不到 10%，安全比重開銷平均約 3~5%。隨著企業(yè)業(yè)務(wù)云化進(jìn)程加快，安全是非常大、非常有潛力的市場，希望各位多掌握安全知識。