微軟可信賴計(jì)算部總經(jīng)理John Lambert

2012信息安全論壇和科技展由中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)和微軟公司聯(lián)合主辦,大會(huì)內(nèi)容包括主題演講、圓桌討論和安全增強(qiáng)技術(shù)的現(xiàn)場(chǎng)演示。

Lambert在主題演講中重點(diǎn)談到了中國(guó)的具體安全趨勢(shì),強(qiáng)調(diào)軟件開發(fā)人員迫切需要利用能夠?qū)崿F(xiàn)深度防御的安全緩解技術(shù)。根據(jù)Net Applications的數(shù)據(jù),現(xiàn)在中國(guó)有幾乎24%的互聯(lián)網(wǎng)用戶正在使用IE 6,占全球IE 6用戶的半數(shù)以上。

此外,這些計(jì)算機(jī)中的大多數(shù)在運(yùn)行Windows XP或更早的平臺(tái)。Lambert強(qiáng)調(diào),這個(gè)統(tǒng)計(jì)數(shù)據(jù)令人擔(dān)憂,因?yàn)楦鶕?jù)Microsoft安全報(bào)告第11卷的報(bào)告,Windows XP Service Pack 3感染惡意軟件的可能性比Windows 7高六倍。

為幫助IT專業(yè)人員和軟件開發(fā)人員利用安全科技資源和最佳實(shí)踐領(lǐng)域的最新創(chuàng)新成果,微軟演示了在此次活動(dòng)中展示的四個(gè)安全開發(fā)工具:

· 增強(qiáng)的緩解體驗(yàn)工具包(EMET) – 幫助用戶緩解像零日威脅這類沒有安全更新的威脅;

· 攻擊面分析器(Attack Surface Analyzer) – 這一工具可在安裝產(chǎn)品前后獲取系統(tǒng)狀態(tài)的快照,顯示對(duì) Windows攻擊面若干關(guān)鍵因素的更改;

· 威脅建模工具(Threat Modeling Tool) – 幫助工程師分析系統(tǒng)威脅,在軟件生命周期的早期發(fā)現(xiàn)并解決設(shè)計(jì)問題;

· BinScope工具 – 驗(yàn)證是否正確使用了安全緩解技術(shù),如ASLR或DEP。

這些工具免費(fèi)向公眾提供,微軟定期在其安全開發(fā)生命周期(SDL)的各個(gè)不同階段使用它們。SDL是一種安全的軟件開發(fā)方法,可編寫能最大程度減小軟件和服務(wù)中漏洞的數(shù)量、嚴(yán)重性和可攻擊性的代碼。在此次活動(dòng)中,包括淘寶、奇虎360和翰海源在內(nèi)的中國(guó)本地公司分享了利用這些工具的部分成功經(jīng)驗(yàn)。

Lambert重點(diǎn)介紹微軟SDL對(duì)其產(chǎn)品和服務(wù)的影響,分享了最近的一項(xiàng)研究。該研究顯示,對(duì)比過去18個(gè)月內(nèi)所有微軟軟件的最新版本與所有受支持的上一版本,微軟產(chǎn)品中的漏洞可攻擊性總體下降了30%以上。

在中國(guó),隨著安全界使用免費(fèi)安全緩解技術(shù)和工具的意識(shí)日益增強(qiáng),提高軟件安全質(zhì)量也將勢(shì)在必行。 這樣可以培育更安全的全球計(jì)算生態(tài)系統(tǒng),幫助保護(hù)世界上最大軟件市場(chǎng)上的Windows和Internet Explorer用戶。

微軟可信賴計(jì)算部門旗下的安全工程中心(MSEC)在Lambert的領(lǐng)導(dǎo)下從事安全科技工作。安全科技的用途是識(shí)別新出現(xiàn)的安全漏洞和威脅類別,針對(duì)這些新類別進(jìn)行主動(dòng)防御開發(fā)。 微軟使用安全科技開發(fā)先進(jìn)的工具和技術(shù),使攻擊軟件難于成功。

“本地安全公司、軟件公司和搜索服務(wù)提供商都在競(jìng)爭(zhēng)中國(guó)市場(chǎng),在這些公司中,很多在運(yùn)行各種版本的 Windows操作系統(tǒng)、IE和其它基于Trident的瀏覽器。”Lambert說,“我們對(duì)這個(gè)市場(chǎng)的安全科技進(jìn)行了分析,分析結(jié)果是,這些供應(yīng)商中很多仍然沒有利用Windows內(nèi)置的安全緩解技術(shù),如地址空間隨機(jī)化(ASLR)和數(shù)據(jù)執(zhí)行保護(hù)(DEP)。”

Lambert在演講的最后,向用戶和IT專業(yè)人員提供了具體的指導(dǎo),幫助他們獲得保護(hù),防范攻擊。他鼓勵(lì)用戶使用新產(chǎn)品,讓他們的系統(tǒng)及時(shí)安裝最新的安全更新,使用來源可靠的反惡意軟件。微軟還鼓勵(lì)I(lǐng)T專業(yè)人員思考一下,他們正在使用或考慮使用的軟件是否執(zhí)行了類似SDL的安全流程來盡量減少軟件漏洞,以及是否采用了攻擊緩解技術(shù)。

分享到

huanghui

相關(guān)推薦