微軟可信賴計算部總經(jīng)理John Lambert

2012信息安全論壇和科技展由中國計算機學會計算機安全專業(yè)委員會和微軟公司聯(lián)合主辦，大會內(nèi)容包括主題演講、圓桌討論和安全增強技術(shù)的現(xiàn)場演示。

Lambert在主題演講中重點談到了中國的具體安全趨勢，強調(diào)軟件開發(fā)人員迫切需要利用能夠?qū)崿F(xiàn)深度防御的安全緩解技術(shù)。根據(jù)Net Applications的數(shù)據(jù)，現(xiàn)在中國有幾乎24%的互聯(lián)網(wǎng)用戶正在使用IE 6，占全球IE 6用戶的半數(shù)以上。

此外，這些計算機中的大多數(shù)在運行Windows XP或更早的平臺。Lambert強調(diào)，這個統(tǒng)計數(shù)據(jù)令人擔憂，因為根據(jù)Microsoft安全報告第11卷的報告，Windows XP Service Pack 3感染惡意軟件的可能性比Windows 7高六倍。

為幫助IT專業(yè)人員和軟件開發(fā)人員利用安全科技資源和最佳實踐領(lǐng)域的最新創(chuàng)新成果，微軟演示了在此次活動中展示的四個安全開發(fā)工具：

· 增強的緩解體驗工具包(EMET) – 幫助用戶緩解像零日威脅這類沒有安全更新的威脅;

· 攻擊面分析器(Attack Surface Analyzer) – 這一工具可在安裝產(chǎn)品前后獲取系統(tǒng)狀態(tài)的快照，顯示對 Windows攻擊面若干關(guān)鍵因素的更改;

· 威脅建模工具(Threat Modeling Tool) – 幫助工程師分析系統(tǒng)威脅，在軟件生命周期的早期發(fā)現(xiàn)并解決設計問題;

· BinScope工具 – 驗證是否正確使用了安全緩解技術(shù)，如ASLR或DEP。

這些工具免費向公眾提供，微軟定期在其安全開發(fā)生命周期(SDL)的各個不同階段使用它們。SDL是一種安全的軟件開發(fā)方法，可編寫能最大程度減小軟件和服務中漏洞的數(shù)量、嚴重性和可攻擊性的代碼。在此次活動中，包括淘寶、奇虎360和翰海源在內(nèi)的中國本地公司分享了利用這些工具的部分成功經(jīng)驗。

Lambert重點介紹微軟SDL對其產(chǎn)品和服務的影響，分享了最近的一項研究。該研究顯示，對比過去18個月內(nèi)所有微軟軟件的最新版本與所有受支持的上一版本，微軟產(chǎn)品中的漏洞可攻擊性總體下降了30%以上。

在中國，隨著安全界使用免費安全緩解技術(shù)和工具的意識日益增強，提高軟件安全質(zhì)量也將勢在必行。 這樣可以培育更安全的全球計算生態(tài)系統(tǒng)，幫助保護世界上最大軟件市場上的Windows和Internet Explorer用戶。

微軟可信賴計算部門旗下的安全工程中心(MSEC)在Lambert的領(lǐng)導下從事安全科技工作。安全科技的用途是識別新出現(xiàn)的安全漏洞和威脅類別，針對這些新類別進行主動防御開發(fā)。 微軟使用安全科技開發(fā)先進的工具和技術(shù)，使攻擊軟件難于成功。

“本地安全公司、軟件公司和搜索服務提供商都在競爭中國市場，在這些公司中，很多在運行各種版本的 Windows操作系統(tǒng)、IE和其它基于Trident的瀏覽器。”Lambert說，“我們對這個市場的安全科技進行了分析，分析結(jié)果是，這些供應商中很多仍然沒有利用Windows內(nèi)置的安全緩解技術(shù)，如地址空間隨機化(ASLR)和數(shù)據(jù)執(zhí)行保護(DEP)。”

Lambert在演講的最后，向用戶和IT專業(yè)人員提供了具體的指導，幫助他們獲得保護，防范攻擊。他鼓勵用戶使用新產(chǎn)品，讓他們的系統(tǒng)及時安裝最新的安全更新，使用來源可靠的反惡意軟件。微軟還鼓勵I(lǐng)T專業(yè)人員思考一下，他們正在使用或考慮使用的軟件是否執(zhí)行了類似SDL的安全流程來盡量減少軟件漏洞，以及是否采用了攻擊緩解技術(shù)。

huanghui