微軟的資安策略
2000年10月,這是微軟安全管理史上最黑暗的一個月,位於美國華盛頓州的微軟總部,破天荒的遭到駭客入侵,不但潛伏的時間可能長達三個月之久,連其最核心的Windows作業系統及Office文書軟體的原始碼都有遭竊的疑慮。事件發生的始末肇因於一個木馬程式「QAZ」,一位駭客將此後門程式偽裝成微軟視窗的應用程式「記事本(Notepad.exe)」,接著利用電子郵件附夾檔案的方式寄給微軟員工,某位微軟員工就在不知情的狀況下開啟了這個程式,並造成自己的員工帳號和密碼等重要資料被竊取,駭客在順利取得登入帳號和密碼之後,便假扮成一位外地工作的微軟員工,開始利用網路連線入侵微軟總部,並且不斷利用提高存取權限來查看重要的內部文件,直到被微軟的安全部門發覺異常之後,才曝露行蹤,當時微軟緊急停止了約39000名的員工遠端存取權限,大規模的進行帳號驗證並重新調整設定,但仍未能及時逮住入侵的駭客,經過那次的教訓之後,微軟似乎體驗到真正的危險並不是病毒,而是毫無防範之心的使用者。
一年多後,微軟董事長暨首席工程師比爾蓋茲便於一次重要會議上正式宣佈,所有的微軟產品包含Windows在內,都將全面提升安全及隱私的功能,並發表了可信任電腦運算系統(Trust worthy Computing),誓將資訊安全設為首要任務。該年2月,微軟暫停了新作業系統的研發工作,派遣約7000名的工程師接受軟體安全的訓練,開始帶領微軟跨進資訊安全之路。而那一年微軟也開始大規模的併購資安企業,包含2002年併購防毒業者XDgrees,2003年併購防毒業者GeCAD Software以及Pelican,2004年併購反間諜軟體商Giant Company Software,2005年併購防毒業者Sybari、郵件安全廠FrontBridge Technologies及身份辨識業者Alacris。因此當微軟於三月正式宣布進入資訊安全市場時,所有的人都不感意外,我們只是好奇,究竟他們會怎麼做,又會做到什麼地步。
《圖一 微軟今年公佈的資安策略將以身分辨識、防毒及強化基礎建設為主》 |
由前端及伺服端跨入 強調防毒與反間諜功能
挾其在作業系統的優勢,微軟首先從前端用戶及伺服器端進入市場。目前微軟已正式宣布的資安產品共有四種,一為專為前端用戶設計的間諜程式偵測軟體Windows Defender(前身為Windows AntiSpyware),以及線上防毒訂閱服務Windows OneCare Live,和企業級前端用戶及伺服器端的郵件整合防護產品Microsoft Antigen,此產品線由併購Sybari而來的,包括Microsoft Antigen SMTP Gateway、Microsoft Antigen Spam Manager、Microsoft Antigen IM、Antigen for Exchange及Antigen for SharePoint數項以Antigen為品牌的產品,最後一款是針對IT人員開發的全新安全防護產品Microsoft Client Protection。
《圖二 微軟線上防毒服務OneCare Live》 |
其中Windows Defender為免費下載的軟體,目前最新的版本為Beta2;OneCare Live如(圖二)則預計於今年六月正式推出,確定的訂閱方式及價格預計五月公佈;Antigen則是暫訂八月推出,目前仍處於測試階段;Microsoft Client Protection預計2006年底完成測試並開始量產。
綜合微軟目前現有的產品線來看,防毒和反間諜為其最主要的功能。在個人作業系統上,Windows Defender的主要作用為間諜軟體的偵測和移除,且能永遠啟動,不久前才宣布延遲上市的新版作業系統「Vista」也確定內建該軟體,很明顯的,微軟對於當年的入侵事件耿耿於懷,但這是否即能防止Windows遭入侵仍不得而知;OneCare Live為一套能自動進行更新的防毒服務,需透過線上訂閱的方式取得,此服務能強化個人電腦的防毒能力及提升防火牆功能,並具有備援功能,同時也兼具Windows Defender的反間諜軟體偵測,為更進階的防毒服務;另外Vista和預計今秋推出的Internet Explorer 7.0雙雙提升了安全防護的層級,設計核心皆為防毒考量,新的安全性中心就是依防毒技術所建立,能結合「使用者帳戶控制」(UAC),判斷瀏覽器是否處於安全狀態,或者UAC已停用。
Microsoft Antigen(如圖三)則是針對伺服器應用的安全防護產品,能對郵件、即時訊息、垃圾郵件和郵件閘道提供不同層級的防毒防駭服務,目前Antigen並不具備自身的病毒碼,而是與Kaspersky、Sophos、CA vet、CA InoculateIT、Virus Busters、Norman、Ahn Labs、Trend Micro等數家防毒廠商合作提供,使用者可自訂使用哪幾家的病毒碼,但須另行付費取得;Microsoft Client Protection是微軟在用戶端最高階的整合性產品,它兼具Windows Defender、OneCare Live等微軟用戶端所有安全防護功能,目前仍處於開發階段,其主要的功能也在防毒與反間諜上,特點為更彈性的支援企業級前端用戶。
《圖三 微軟Antigen的產品線規劃》 |
強化自身作業平台 打擊對手安全防護能力
四月初,台灣近百家使用Linux系統的民間企業和政府機關,連續遭到同一個國際駭客組織un-root的入侵,被駭的公司其首頁都遭此駭客組織置換,這個Linux系統有嚴重資安漏洞的新聞正好幫了微軟一把。
微軟投入資安市場除了增加營運收入外,其主要的目的仍是鞏固並維持其作業系統市場優勢,並進一步打擊其他作業平台的安全防護能力。目前微軟所推出的資安產品及服務功能僅支援自身的作業系統,甚至某些功能已內建於作業系統之內(如Windows Defender)。為微軟所併購的GeCAD Software和Sybari兩家防毒業者,其產品在未被併購前皆能支援Linux系統,其中GeCAD過半數的營收是來自開放源碼陣營,但兩家公司被微軟收購之後,其產品便不再提供Linux版本,從此點便可看出微軟在維護其作業系統市場優勢並打擊對手的強硬作風。
訂定新式安全協定 推動身分認證系統
《圖四 微軟新版作業系統「Vista」》 |
不同於傳統的防毒軟體廠商著重於掃毒引擎的研發和病毒碼更新,微軟更注重「使用者」的安全問題,因為越來越多的證據顯示,未來所有的駭客入侵都將以商業目的為主,因此個人資料的防護成為微軟在資安市場上最具影響力的武器。
為避免使用者的帳號及密碼遭木馬程式滲透或者誤入網釣陷阱洩漏,微軟積極的開發新型態的身分驗證系統,除了於2002年提出可信任運算系統的架構外,並於今年公佈了數種針對不同工作型態人員所設計的身分識別功能,比爾蓋茲甚至在今年2月14日的RSA電腦安全性會議上大膽的宣布「密碼(Password)即將消失」。包括即將上市的新版個人電腦作業系統「Vista」(如圖四)和代號「Longhorn」的次代伺服器作業系統都以全方位的安全功能為其主要訴求,其中「InfoCard」這個身份辨識應用將會成為微軟力推的一項重要服務,據微軟表示,「InfoCard」為使用業界標準WS-*Web的服務通訊協定所建立,可廣泛應用在網路金融交易或各式的電子認證上,能簡化網路存取資源並減低安全顧慮。「InfoCard」同樣也會結合「Vista」推出,並與IE 7產生極高的連結,預計將可大規模的影響市場。
《圖五 代號為(Longhorn)的伺服器作業系統的安全架構》 |
除此,微軟正積極開發一種結合身份驗證可隨插即用的智慧卡,此智慧卡將會與微軟新開發的智慧卡架構(根據微軟基礎智慧卡密碼編譯服務器與隨插即用的卡片模組)緊密結合,並搭配結盟的硬體商所設計的專屬硬體,提供給使用者及對應市場,目前微軟仍未公布此智慧卡詳細的服務模式,但已確定將會在伺服器作業系統「Longhorn」(如圖五)中提供。
另外,微軟也正與數個組織合作推出新的網路應用標準,包含「高保證SSL憑證」、「網路釣魚篩選器」、「郵件寄件者識別架構」等,這些標準都將在IE 7中廣泛使用。
防毒軟體商的積極備戰
面對一隻腳早已踩進門,如今又將另一隻腳也跨進來的軟體老大哥,防毒軟體商的確心驚膽跳,但他們也不會坐以待斃。
賽門鐵克推出先進線上防毒服務「創世紀」
一定會有影響,至於影響會有多大,目前不得而知。但我們不該只在意他們(微軟)所造成的影響,更應該專注於市場的開發,研究如何把餅做大。」賽門鐵克的大中華區技術總監王岳宗如此說道。
《圖六 賽門鐵克大中華區技術總監王岳宗》 |
事實上,賽門鐵克早已意識到動作頻頻的微軟所可能造成的影響,除了持續研發更具效益的企業防毒應用外,也針對可能遭受大規模影響的前端用戶市場推出了一項名為「創世紀」(Gensis)的線上防毒服務。這項服務與微軟的OneCare Live有很明顯的較勁意味,兩者都必須透過線上訂閱取得,但賽門鐵克強調「創世紀」將可獲得旗下所有防毒應用的支援,同時還具備新開發的「網釣行為判斷」功能,可針對潛伏的惡意網站做分析,防止使用者誤觸網釣。
「創世紀」的詳細功能及正式上市時間仍未確定,原本預計今秋推出,但將有延後的可能,王岳宗指出:「Gensis是針對Windows Vista所設計,因此目前的上市計畫未定。」
趨勢科技著重資安委外服務
避開正面交鋒,選擇「藍海」前進,則是趨勢科技所採行的因應之道。趨勢科技認為微軟與其市場佈局並不相同,微軟主要是針對前端用戶,而趨勢科技則是著重在企業用戶。企業用戶的營利一向是趨勢科技主要的營收來源,未來趨勢科技也將持續深耕此一市場,但面對微軟透過伺服器系統逐漸進入企業市場,趨勢科技也推出新的企業資安委外服務(Expert Service Of-fering)來因應。
趨勢科技相信未來資安將會走向以「服務」為主,無法單以一套或是一組安全設備就能完全符合企業的資安需求,加以目前攻擊手段不斷翻新,攻擊方式也愈加複雜,一般企業要獨自因應實顯困難,不但會造成營運成本增加,更有可能因為過慢的反應速度而造成更重大的損失,因此趨勢科技認為最好的方式就是將資訊安全的管理委外,交由專業的資安公司做代管,可減少企業建置資安設備的成本,也可提高反應速度。
網路資安設備商樂見其成
不同於防毒軟體商,網路資安設備廠則是持樂觀的看法,甚至歡迎微軟進入此一市場。
基於雙方原本就各異的企業體質,網路設備絲毫不擔心微軟將會造成的市場影響,他們更認為微軟的加入有擴大此一市場的益處。瞻博網路(Juniper Network)亞太地區企業解決方案行銷經理鄧愛茵就表示﹕「我們非常歡迎微軟的加入。」她也指出,由於雙方所專注的防護領域並不相同,因此微軟的加入將可提供客戶更周全的防護,目前Juniper與微軟為合作關係。
微軟的另一個合作夥伴SOPHOS也做出同樣的表示。SOPHOS中國業務拓展總監周冠東說﹕「我們不擔心。」,他進一步指出,雙方經營的市場對象有差異,微軟主要針對個人用戶,而SOPHOS則專注企業用戶,而企業端用戶注重技術,而SOPHOS有絕對的技術優勢。
2004年才將網路安全設備公司NetScreen售出的Fortinet也採取相同的態度回應這個問題。Fortinet台灣區總經理陳鴻翔也同樣表示「不擔心」,他認為目前微軟仍不會影響企業市場,原因在於企業使用者對於品牌及知名度並不迷信,技術仍是決定性的因素,他對Fortinet在資安技術的研發實力非常有信心。
《圖七 Fortinet台灣區總經理陳鴻翔》 |
市場的影響
目前微軟的產品雖已公佈但仍未正式上市,市場的接受度及使用效能仍不得而知,但可以確定的是,其影響的範圍仍會著重在用戶端層面,微軟一向慣用的搭配(其新版作業系統及與IE 7的結合)銷售的模式將會對傳統的防毒軟體商造成相當的傷害,即便是防毒廠商擁有更高效能的防護能力,也需要先說服消費者同時於單一系統中安裝兩個防毒程式才行,究竟該如何進行,成為防毒廠商的一大問題。
至於在企業端的應用上,最終的管理介面由微軟獨占將是可預期的情況,主要的原因仍在作業系統的支援,但企業資安防護較用戶端更為困難,牽涉的軟硬體設定相當複雜,因此短時間內仍不會有太大變化,但微軟積極與設備商進行結盟與合作,可見其欲領導市場的野心,包含各式新規格的制定以及未來將推行的身分認證架構全都有賴與其他廠商合作,共同推動。不難想像未來微軟的市場品牌將會更形壯大,這也呼應了微軟即將轉向提供「資訊服務」的大方向。