1、Microsoft Online Tech Forum陈健宁 陈彬彬微软全球技术支持中心云平台安全响应机制内容安排云平台安全和应急响应更廉价的攻击负载(受控设备)平均价格区间PC-$0.13 到$0.89移动端-$0.82 到$2.78鱼叉式钓鱼每成功一个账号收取$100 到$1,000 不等0days 价格从$5,000 到$350,000勒索软件:预付$66 或者30%的盈利用于遮掩IP地理位置的代理服务价格100,000个最低每周$100拒绝服务(DOS)平均价格每天:$102.05每周:$327.00每月:$766.67破解的账号最低4亿只需$150平均$0.97每千个.现代化攻击链在

2、不断演进综合性攻击被完全用于云端或影响混合环境密码扫描从云端执行恶意代码供应链攻击Exchange侦察Exchange/OneDrive 渗透恶意OAuth 应用共享责任和策略要点云平台安全响应启用多因素认证（MFA），阻止99.9%针对身份的攻击在构建生产环境同时设计启用安全特性Secure Score启用并保存日志，定期备份日志关注官方公开信息并采取行动（https:/aka.ms/SUG）云平台安全应急响应报告资源滥用、报告钓鱼邮件（https:/cert.M）冷静分析追踪，补足短板云平台安全响应利器和最佳实践ASC,MDATP,AAD,Azure SentinelAzure Secur

3、ity Center 提供的解决方案Azure Security Center 最佳实践（1）Azure Security Center 最佳实践（2）ASC 案例resourceType:Virtual Machine,Attacker IP:199.59.x.x,Victim IP:“x.x.x.x,Attacker Port:15796,Victim Port:389发现虚拟机没有使用NSG进行访问控制，导致了安全漏洞。此前，ASC已经给出加固NSG及JIT的建议MDATP 提供的解决方案MDATP 管理员面板使用MDATP响应安全事件案例Ryuk勒索软件攻击链检测案例Advanced

4、Hunting/Find use of Base64 encoded PowerShell/Indicating possible Cobalt Strike DeviceProcessEvents|where Timestamp ago(7d)|where InitiatingProcessFileName=wmiprvse.exe|where FileName=powershell.exeand(ProcessCommandLine hasprefix-e or ProcessCommandLine contains frombase64)|where ProcessCommandLine

5、 matches regex A-Za-z0-9+/50,=0,2|project DeviceId,Timestamp,InitiatingProcessId,InitiatingProcessFileName,ProcessId,FileName,ProcessCommandLineAAD保护身份，检测异常Conditional Access 及 Identify ProtectionAAD身份信息保护最佳实践利用Conditional Access对管理角色用户进行多因素认证对所有用户进行多因素认证对Azure的管理访问（Azure portal,Azure PowerShell,Azu

6、re CLI）登陆进行多因素认证禁用传统认证协议结合AAD Identity Protection，对高风险用户强制密码重置，对中风险及以上用户要求多因素认证对访问发起的地点进行限制只允许特定客户端访问特定服务对设备合规性进行要求利用Identity Protection：设置MFA策略设置风险策略对风险采取控制风险用户风险登录确保AAD 登录日志的保存期限符合安全审计及响应策略案例AAD身份信息保护3/10/2020:安全人员发现某台Azure虚拟机被异常开启，机器没有NSG网络安全组保护，暴露给Internet后遭遇攻击我们调查发现2020年第一次开机请求是通过用户A的Azure Port

7、al应用发起，发起时间为1/22此后在3/5，3/6，3/7 又由相同账号通过Azure Portal发起另外三次开机请求利用AAD 登录日志发现了3/5，3/6，3/7的登录来源于合理的IP，并确认由用户A发起由于1/22的登录日志已经被冲涮掉，无法获取1/22登录的具体原因和源头IP地址客户重置用户A密码，开启Conditional Access策略要求MFA并结合Identity Protection进行更好的风险检测 Microsoft CorporationAzure 太多不相关的安全产品76%机构的安全数据持续增加3.5M的安全人员缺口缺乏自动化44%的报警从没被分析本地IT部署及

8、维护威胁的复杂性安全人员面临的挑战分析Azure Sentinel 点对点的安全解决方案检测收集安全事件自动化数据搜寻调查响应小结安全事件的响应离不开良好的风险评估，保护和检测基础架构微软在Azure云平台上提供了深层防御模型下的安全解决方案云平台是一个责任共享平台Azure Security Centerhttps:/ Defender ATPhttps:/ Conditional Accesshttps:/ Sentinelhttps:/ Copyright Microsoft Corporation.All rights reserved.Thank you內部風險讓您晚上無法入眠嗎Mi

9、crosoft Online Tech Forum微軟線上技術峰會Jaron Lin 林堅樂Sly Dog(狡猾狗)集團4個員工在離開公司時，除了公司的外套以外還有集團首領寄了一封電子郵件給自己，裡面包含了廠房倉庫的平面圖及平常的交接班及作業流程，標題是“you sly dog you”，接著再招攬了另外3名成員其他的成員使用公司的信箱帳號寄信給自己私人的信箱，裡面傳送的包含機敏的文件，並且標註“good stuff”這個內部盜竊的事件會被發現 是因為一個偶然的失誤，其中一個成員不小心將電子郵件寄到一個舊的工作帳號，裡面包含了一些專利技術文件，文件中改換了競爭者的商標在2019年3月,有一家汽

10、車製造商向4名前員工以及1家競爭廠商提起了法律訴訟。這家製造商有它獨到的工藝以及專利的生產作業及技術內部攻擊可能造成的風險範圍極大資料外洩違反保密規定智慧財產盜取違反工作規定違反法律合規詐欺政策違反內線交易利益衝突機敏資料外洩資訊安全違規職場覇凌覺得無法處理內部威脅面對內部威脅，您的組織有多脆弱?內部風險是您最大的挑戰之一1https:/ organizations surveyed were 100+seats哪一類的內部風險您最在意?不確定惡意/蓄意的內部攻擊者例.意欲造成危害無心的/非故意的內部攻擊者例:無意的行為或帳號外洩的使用者惡意內部攻擊風險的路徑跨階段的重點指標偵測能有效的提高預

11、防能力51%曾參與內部威脅的員工中，都曾違反過公司的IT安全策略，最終導致事件發生 Deloitte Metastudy 201659%的員工表示，在他們離開公司的時候，曾把公司的機敏資料一併帶走Deloitte Metastudy 201692%的內部員工攻擊事件中，都曾發生了負面的工作事件，例如遭降職、停職，另外有21.6%的關聯事件(例如其他人有升職、財務獎勵、認可等)Carnegie Mellon CERT97%的內部攻擊事件，依據美國史丹福大學的研究結果，發現和他的主管有關，但大部份的公司並沒有跟進處理Deloitte Metastudy 2016容易傷感感到壓力憂慮行為計畫及準備風

12、險基於智慧的內部攻擊風險的解決方案透明在員工個人隱私以及公司風險之間取得平衡智能運用機器學習，偵測隱藏的行為模式整合整合工作流程，由協同作業來確認風險法務部門(雇傭單位)確認雇傭合規人事部門健康的員工以及完善的工作環境法令遵循/隱私法令合規及相關政策執行資訊安全部門保護資料和公司的基礎架構角色使用自訂的模版提供豐富的內部洞悉資訊機器學習會整合系統原生以及第三方的訊號(signals)來辨識內部風險端到端的調查整合的調查工作流程，可以讓IT、HR、法務進行協同作業內建隱私權保護匿名控制確保與風險相關的資料都能適當的被保護Insider Risk Management(內部風險管理)政策範本初始類

13、別機敏資料外洩機敏或保密資料的外洩，包含有意或無意的人事政策違反偵測違反公司人事政策的行為(例如:騷擾、歧視等)離職員工的資料盜取離職員工偷取智慧財產權相關資料或資產59%的員工表示，在他們離開公司的時候，曾把公司的機敏資料一併帶走1.2016 Deloitte Debriefs“Insider threats:What every government agency should know and do”示範:Insider Risk ManagementJaron Lin示範:Insider Risk ManagementMicrosoft Online Tech ForumMicroso

14、ft Online Tech Forum微软在线技术峰会侵略如火，不动如山微软如何通过“零信任”守护企业安全张美波大中华区 Cybersecurity 首席架构师微软企业服务微软大师，CISSP，CCSP，PMPAgenda“零信任”-网络安全的新纪元这些安全事件的共性是什么？入侵者利用特权及管理账户的权限进行攻击入侵者充分利用企业内部网络的默认信任关系来进行横向移动被攻击目标缺乏完善的访问控制措施缺乏完善、深入的安全监测与响应能力，导致未能快速发现并阻止攻击行为DataInfrastructureDevicesApplicationNetworkIdentityDataInfrastruct

15、ureDevicesApplicationNetworkIdentityTrust but verifyNever trust,always verify资源资源/资源组资源组DataInfrastructureDevicesApplicationNetworkIdentityDevices Security Policy EnforcementIdentityUser/session riskMulti-factor authenticationIdentity providerDevice identityDevice risk&compliance stateClassify,label

16、,encryptVisibility and AnalyticsAutomationEmails&documentsStructured dataData Adaptive Access AppsSaaS AppsOn-premises AppsNetwork deliveryInternal Micro-segmentationNetworkInfrastructureJIT and Version ControlIaaSPaaSInt.SitesContainersServerlessAccess&runtime controlThreat protectionDataInfrastruc

17、tureDevicesApplicationNetworkIdentity可信度最小权限身份验证凭据身份验证凭据微软“零信任”架构2010Forrester 提出“Zero TrustZero Trust”概念2004Jericho ForumJericho Forum“去网络边界化，限制基于网络的隐式授权”2014Google 发布“BeyondCorpBeyondCorp”2014微软提出“新安全边界”、“现代化企业安全模型”、“假定被攻击”、“层级保护模型”等概念2017OReilly 出版2004网络访问控制(NAC)架构2002微软启用 IPSec 隔离“所有企业内部网络端到端通信都

18、是安全的”2009Forefront Forefront 安全产品系列“集成联动安全，统一安全策略”2009DirectAccessDirectAccessWindows 7/Windows Server 2008 R2Windows 7/Windows Server 2008 R2“无边界网络”2012Dynamic Access ControlDynamic Access ControlWindows 8/Windows Server 2012Windows 8/Windows Server 2012“基于用户、设备、资源和内容分级的动态访问控制”2019NIST SP 800-207 D

19、raft安全行业2018“无密码”战略2019完成“零信任”阶段性部署，并持续改进2017Microsoft IT 发布“InternetInternet-firstfirst”战略2016发布“按条件访问(Conditional Access)”2008Windows Server 2008集成“网络访问保护”功能如何适配“零信任”模型？强制执行（Enforcement）微软云计算“零信任”架构强制执行（Enforcement）Conditional Access App Control6.5 Trillion Signals/DayUser角色:销售部门员工用户组:北京销售部门设备:Win

20、dows 10配置:安全策略已应用所在位置:北京，中国最后登录时间:2小时前，北京企业应用系统本次访问的风险评估结果健康状态:已被入侵客户端:Microsoft Edge登录源IP:匿名代理登录位置:香港，中国HighMediumLow匿名代理 IP 地址该用户之前从未从类似位置登录，并且不可能在此短时间内从北京到达香港在设备上发现恶意软件Device敏感度:中等阻止访问并强制清除恶意软件依托全球最大安全情报数据库，构建微软安全产品体系Microsoft 365身份与访问管理威胁保护与安全检测信息保护安全管理与监控Microsoft 365 最全面的 Cybersecurity 保护方案Ent

21、erprise Mobility+SecurityEnterprise Mobility+SecurityTier 1 Tier 2 Tier 0 Tier 1 Tier 2 Tier 0 安全功能云上（微软 Azure AD）云下（On-premise 活动目录）身份验证与凭据（Identity）统一的身份验证凭据Azure ADActive Directory多因素身份验证Azure AD默认支持智能卡特权及管理账户访问控制Azure AD 特权账户管理活动目录特权及管理账户安全加固，FIM统一的访问控制策略Conditional Access活动目录安全策略用户账户安全风险动态评估Azu

22、re AD 凭据保护计算设备（Device）基于设备身份的访问控制加入 Azure AD加入活动目录域设备管理及安全策略Microsoft Intune活动目录安全策略设备安全状态Microsoft Defender ATPMicrosoft Defender ATP设备安全状态访问控制集成Conditional Access企业如何实现“零信任”？这世界上没有两只鸟是完全相同的，“零信任”部署也是。“零信任”是一个持续进化的旅程，而不是一个结果。“零信任”之旅，从问题开始再进一步深入分析MacOSAndroidiOSWindowsGoogle IDMSAIdentity ProviderFe

23、derated谁访问数据？他们的角色是什么？他们如何访问？用户账户的安全风险如何？（例如使用弱密码/泄露的密码、低密码强度、使用行为等）设备类型是什么？设备健康状态/安全状态如何？它在访问什么数据？数据重要性/机密性/敏感性如何？用户所在位置如何？当前登录位置？历史登录行为？访问的目标应用是什么？SaaS、云端应用、企业本地部署应用、还是移动App？CorporateNetworkGeo-locationBrowser appsClient apps基于动态评估结果，我们的决定是Cloud SaaS appsPublic CloudsOn-premises apps最终组合在一起，就是：按条件

24、访问、动态风险评估的“零信任”部署模型访问条件SessionRiskEffectivepolicyMacOSAndroidiOSWindowsEmployee and partnerusers and rolesTrusted andcompliant devicesPhysical&virtual locationClient apps&auth methodGoogle IDMSAIdentity ProviderFederatedCorporateNetworkGeo-locationBrowser appsClient appsCloud SaaS appsPublic CloudsO

25、n-premises appsAllow/block accessLimited accessRequire MFABlock legacy authenticationForce password resetReal-timeevaluation engineMachine learning安全控制PoliciesDataInfrastructureDevicesApplicationNetworkIdentity微软企业服务全球安全服务部门欲求和平，必先备战。Microsoft Online Tech ForumMicrosoft Online Tech Forum微软在线技术峰会侵略如火

26、，不动如山微软如何通过“零信任”守护企业安全张美波大中华区 Cybersecurity 首席架构师微软企业服务微软大师，CISSP，CCSP，PMPMicrosoft Online Tech Forum微软在线技术峰会唐浩微软Modern Workplace全球黑带智能、安全、合规：围绕 Microsoft Teams 构建未来云协作平台议程1.生产力协作平台的演化2.基于Teams的协作，兼顾安全与合规3.面向未来的生产力洞察生产力协作平台的演化单点登录体验应用管理安全可控的共享敏感信息多因子验证基于条件的访问（地点，设备）个人生产力移动化云存储团队协作共同编辑（基于公司，群组，项目等）治理

27、，风险与合规管理(保留,检索,治理，监管，调查，风控)身份和访问管理延申扩展至外部的全产业链协作现代化办公与协作框架业务流程数字化与自动化内部沟通与信息发布企业内容管理智能发现,搜索KPI与业务结果发布和洞察用户自服务减少IT运维BYOD与设备管理PC分发部署与防护变更管理与培训1234身份管理设备与应用管理数据治理与信息保护生产力和协作THE PROBLEM企业所需的安全已经集成在了微软的生产力工具中生产力安全On-premisesOR安全这个平衡非常微妙Microsoft 365通往现代化工作模式之路基于对话的工作区邮件和日历语音、视频和会议Office 应用程序/协同创作站点和内容管理分

28、析与决策高级安全与合规高级终端安全为现代化 IT 而设计增强的桌面生产力强大的现代化设备身份和访问管理管理移动生产力威胁防护信息保护安全与合规管理Microsoft 365完整的企业级解决方案基于Teams的协作，兼顾安全与合规Microsoft Teams 云协作平台沟通基于对话、会议，融合语音呼叫协作与Office 365应用深度集成定制与扩展可实现第三方应用、流程及设备定制与功能扩展安全与合规企业级安全与合规管理Microsoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsM365 Administr

29、ationMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpolicie

30、sLive event policiesPolicy packagesTeams AdministrationTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpoliciesLive event policiesPolic

31、y packagesSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsRetentionpoliciesReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingpoliciesLive event policiesPol

32、icy packagesSecurity&Compliance AdminSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningRetentionpoliciesMessagingpol

33、iciesLive event policiesPolicy packagesSecurity&ComplianceAdmin ToolsTeams&SkypeAdmin ToolsMicrosoft 365&Azure ADAdmin ToolsTeams 在协作中提供的安全与合规管理能力Teams administratorsRetentionpoliciesReporting&analyticsCustomization apps,bots,etc.Calling policiesApppoliciesMeetingpoliciesMigration planningMessagingp

34、oliciesLive event policiesPolicy packages面向未来的生产力洞察你是否能了解员工，团队以及自己的实际工作情况？有了行为数据，我们可以进行数据驱动的上海品茶转型，从主观判断变为科学决策MyAnalyticsWorkplace Analytics获取有关贵公司运作方式的总体见解通过行为分析的洞察来运营您的业务通过数据和AI智能推动文化变革获得仅自己可见的生产力洞察专注、找到生活工作平衡点，增强关系网络建立更智能的工作通过日常工作中的行为洞察来筑造变革文化总结Microsoft 365 智能云服务，助您全面提升生产力以Teams为中心高效协作，兼顾安全与合规管理

35、微软洞察力解决方案赋能上海品茶转型，成就不凡如何实现云计算网络的纵深防御体系Microsoft Online Tech Forum微软在线技术峰会王文斌AgendaAzure 网络安全概览Azure DDoS 防护Azure 网络安全组Azure 用户定义路由Azure 防火墙Azure 应用程序防火墙Azure 网络虚拟设备案例：混合网络部署Azure 网络安全概览零信任模型Devices Security Policy EnforcementIdentities Visibility and AnalyticsAutomationDataAppsInfrastructureNetworkA

36、zure 网络安全隔离防止横向移动和数据泄露保护基于威胁情报的网络安全跨越DevOps流程的安全部署连接分布式连接利用Azure产品实现零信任网络云原生网络安全服务Networking Partner Solutions纵深防御+软件定义网络(SDN)虚拟网络网络安全组用户定义路由负载均衡器Azure防火墙AzureDDoS防护Azure应用程序防火墙Azure专用链接Azure DDoS防护保护应用程序免遭分布式拒绝服务(DDoS)攻击。Azure DDoS防护Azure DDoS防护基本DDoS防护Azure DDoS防护标准DDoS防护网络安全组筛选进出 Azure 虚拟网络中的 Azu

37、re 资源的网络流量。网络安全组网络安全组服务标记服务标记表示给定 Azure 服务中的一组 IP 地址前缀。它有助于最大程度地减少对网络安全规则的频繁更新的复杂性。应用程序安全组使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展，从而可以基于这些组将虚拟机分组以及定义网络安全策略。可以大量重复使用安全策略，而无需手动维护显式 IP 地址。用户定义路由确保特定设备或设备组中的所有流量通过特定位置进入或离开虚拟网络。用户定义路由系统路由用户定义路由自定义路由用户定义路由Azure 如何选择路由Azure 使用最长前缀匹配算法，根据目标 IP 地址选择路由如果多个路由包含同一地址前缀，A

38、zure 根据以下优先级选择路由类型：1.用户定义的路由2.BGP 路由3.系统路由Azure 防火墙原生防火墙功能，内置有高可用性、提供无限的云可伸缩性且无需维护。Azure 防火墙Azure 防火墙不受限制的云可伸缩性应用程序 FQDN 筛选规则网络流量筛选规则FQDN 标记服务标记威胁情报出站 SNAT 支持入站 DNAT 支持Azure 应用程序防火墙为 Web 应用提供强大保护的云原生 Web 应用程序防火墙(WAF)服务。Azure应用程序防火墙微软智能安全保护应用免受自动化攻击使用机器人防护规则集删选正常/恶意机器人基于站点或URI路径指定WAF策略基于不同主机/侦听器或者URI

39、路径部署自定义WAF策略，以实现更精细化的保护l 基于地理位置的流量过滤增强自定义策略的批评场景通过以下服务进行部署：Azure 应用层网关Azure Front DoorAzure CDN（预览版）Azure Global WAF(Front Door)Azure Regional WAF(Application Gateway)Uniform policyWAF policyPaaS,IaaS,AKS,serverless and on-premises backendsOWASP rulesBot managementCustom rulesAzure应用程序防火墙WAF 策略和规则自定

40、义规则IP 允许列表和阻止列表基于地理位置的访问控制基于 HTTP 参数的访问控制基于请求方法的访问控制大小约束速率限制规则Azure 托管的规则集基于开放 Web 应用程序安全项目(OWASP)中的核心规则集(CRS)3.1、3.0 或 2.2.9。机器人防护规则集（预览版）WAF 工作模式检测模式阻止模式Azure 网络虚拟设备在云上使用你熟悉的网络设备。Azure 网络虚拟设备选择您信赖的品牌Azure 网络虚拟设备Azure 防火墙与Azure NVA对比案例：混合网络部署案例：混合网络部署如何提升Azure云平台的隐私与环境治理Microsoft Online Tech Forum微

41、软在线技术峰会赵健微软云架构师Agenda云端治理的意义&持续云端治理的过程Azure云端治理的框架云端治理之安全&身份管理云端治理之部署加速云端治理之资源一致性云端治理之花费管理云端治理的意义&持续云端治理的过程治理的定义Governance is all of the processes of governing,whether undertaken by a government,market or network,whether over a family,tribe,formal or informal organization or territory and whether th

42、rough the laws,norms,power or language of an organized society.It relates to the processes of interaction and decision-making among the actors involved in a collective problem that lead to the creation,reinforcement,or reproduction of social norms and institutions.In lay terms,it could be described

43、as the political processes that exist in between formal institutions.https:/en.wikipedia.org/wiki/Governance云端治理需求优秀的人才恰当的资源合理的配置持续化治理1.规划2.执行3.改进规划执行改进Azure云端治理的框架Azure 资源组织框架Azure ScaffoldCore/Core NetworkAzure 资源管理框架CRUDAzure Resource Manager(ARM)Query2.规范化控制规范化控制：通过规则引擎实施监测通过规则引擎实施监测&审核环境中资源的规范性

44、审核环境中资源的规范性3.资源可见性资源可见性:清晰的查看海量的云端资源1.环境标准化：环境标准化：通过统一的部署&更新云端资源Role-based AccessPolicy DefinitionsARM TemplatesManagement GroupsSubscriptions规则引擎 Azure PolicySecurityAzure Security CenterGuest Config baselinesKey Vault certificateNSG rulesAKS&AKS EngineRBAC role assignmentRegulatory ComplianceNIST

45、SP 800-53 R4ISO 27001:2013CISPCI v3.2.1:2018FedRAMP ModerateCanada Federal PBMMSWIFT CSP-CSCF v2020UK Official and UK NHSIRS 1075TagsResource standardizationCostRequire specified tagAdd or replace a tagInherit a tag from the RGAppend a tagAllowed/not allowed RPAllowed locationsNaming conventionBack

46、up VMsAllowed images for AKSAllowed VM SKUsAllowed Storage SKUs规范化的命名&适当的标签分类云端治理之安全&身份管理安全是云端管理的第一要务Microsoft Antimalwarefor AzureAzure Log AnalyticsAzure Security CenterVNET,VPN,NSGApplication Gateway(WAF),Azure FirewallDDoS ProtectionStandardExpressRouteEncryption(Disks,Storage,SQL)Azure Key Vaul

47、tConfidential ComputingAzure Active DirectoryMulti-Factor AuthenticationRole Based Access ControlAzure Active Directory(Identity Protection)+Partner SolutionsData protectionNetwork securityThreat protectionIdentity&access management Security management网络架构的设计On Premises Network(s)Public IPPublic IPh

48、ttps:/ MANAGEMENT INTERFACESTDE(TRANSPARENT DATA ENCRYPTION)-CLE(CELL LEVEL ENCRYPTION)-SQL SERVER ENCRYPTED BACKUPSALWAYS ENCRYPTEDSQL Server Azure SQL DatabaseSQL SERVER(VM),AZURE SQL DATABASE&AZURE SQL DATA WAREHOUSEAZURE DISK ENCRYPTION-PARTNER VOLUME ENCRYPTION-VIRTUAL MACHINES WINDOWS&LINUXAPP

49、LICATION LEVEL ENCRYPTION AZURE STORAGE SERVICE ENCRYPTION(Blobs,STOCKAGE AZUREAZURE COSMOS DBAZURE BACKUP SERVICE-AZURE BACKUP SERVICEAZURE DATA LAKE AZURE DATA LAKEAZURE HDINSIGHTAZURE KEY VAULT AUTHENTICATION TO KEY VAULT 合理的身份管理是云端所必须Resource Role PermissionsSegment Model Variations 云端治理之部署加速资源部

50、署管理Azure BlueprintsARM TemplatesPolicy DefinitionsRole-based access controlsCustom Scripts*Coming in June 2019BlueprintCloud Engineer+ISO 27001FedRAMPNISTCloud ArchitectResource GroupsAzure DevOpshttps:/ 确保应用的稳定Azure BackupAvailability Sets,Zones and Region PairsAzure Site RecoveryAzure中的高可用选择VM SLA

51、99.9%VM SLA99.95%VM SLA99.99%Regions54Disaster recoverySingle VMProtection with Premium StorageAvailability setsProtection against failures within datacentersAvailability zonesProtection from entire datacenter failuresSite Recovery&Region pairsProtection from disaster with Data Residency complianceA

52、Zs available across US,Europe and Asia more regions coming soonIndustry-onlyHigh availability SLAAzure 监控中心平台健康中心 Azure Service Health云端资源的可见性 Azure Resource Graph云端资源可优化性 Azure Advisor针对云端资源提供持续的优化建议，例如：虚拟机的CPU利用率，建议购买RI，或建议更改的型号等云端治理之花费管理持续的云端费用优化追踪计算优化Management teamsFinance teamsApp teams明确云端花费管

53、理的职责，包括费用明细、权限管理及资源的合理标记明确目标：预算&超支告警清晰的查看各Team的花费，并定期进行审核优化费用管理利器 Azure Cost ManagementThe End&开启云端治理云端治理&云端采用的相关资料如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全Microsoft Online Tech Forum微软在线技术峰会朱长明安全架构师如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全最佳安全实践介绍AgendaSDL是什么SDL的安全实践SDL和DevOps的融合SDL是什么什么是安全开发周期？是什么！通过最佳实践来提高软件开发生命

54、周期的过程，以提高软件安全性试图解决安全问题并减少不安全软件的成本的尝试。不是什么!SDL并非无所不能，彻底的治本！Microsoft安全历史比尔盖茨在2002年初撰写“可信赖计算”备忘录memo early 2002全推送和FSR扩展到其他产品高级领导团队同意对所有产品要求SDL面临重大风险和/或处理敏感数据添加了SDL增强功能“模糊测试”，代码分析，密码设计要求隐私，禁止的危险函数等Windows Vista是第一个通过完整SDL的操作系统更广泛的宣传，开发统一知识库系统一合规系统的介绍和开发安全性已完全集成到DevOps（DevSecOps）中更多的安全自动化工具轻量化通过反馈，分析和自

55、动化来优化流程开始对外宣传SDL为什么采纳SDL网络犯罪演变局域网第一台PC病毒动机：损害19861995互联网时代“大蠕虫”动机：损害19952003操作系统，数据库攻击间谍软件，垃圾邮件动机：财务2004+针对性攻击社会工程学金融+政治2006+2007 Market prices:Credit Card Number$0.50-$20Full Identity$1-$15Bank Account$10-$1000Cost of U.S.cybercrime:$100BSource:U.S.Government Accountability Office(GAO),FBI关键基础设施攻击间

56、谍网络战2009+Design1 XDevelopmentStatic Analysis6.5XTestingIntegration TestingSystem/AcceptanceTesting15XDeploymentApplicationIn the FieldUp to 100X交付安全应用程序必须成为一项强制性要求在集成过程中修复缺陷的成本要比在设计时检测和消除缺陷的成本高15倍，而在发布时则要高达100倍。Source:IDC and IBM Systems Sciences Institute被动安全的代价“如果在生产之前仅消除了50的软件漏洞，那么成本将降低75”-Gartne

57、r“应用程序级别的安全性”SDL的安全实践实践#1-提供培训安全是每个人的工作。开发人员、服务工程师以及计划和产品经理必须了解安全基础知识，并知道如何将安全性构建到软件和服务中，使产品更安全，同时仍满足业务需求并提供用户价值。有效的培训将补充和重新实施安全策略、SDL 实践、标准和软件安全要求，并遵循通过数据或新可用的技术能力获得的见解。尽管安全是每个人的工作，但重要的是要记住，不是每个人都需要成为安全专家，也不是努力成为熟练的渗透测试人员。但是，确保每个人都了解攻击者的观点、目标以及可能的艺术将有助于吸引每个人的注意力，并提高集体知识标准。实践#2-定义安全要求需要考虑安全和隐私是开发高度安

58、全的应用程序和系统的一个基本方面，无论使用何种开发方法，都必须不断更新安全要求，以反映所需变化功能和威胁环境的变化。显然，定义安全要求的最佳时间是在初始设计和规划阶段，因为这允许开发团队以最小化中断的方式集成安全性。影响安全要求的因素包括（但不限于）法律和行业要求、内部标准和编码实践、对以前事件的审查以及已知的威胁。这些要求应通过工作跟踪系统或通过从工程管道派生的遥测来跟踪。跟踪看板、积压工作、团队仪表板和自定义报告的工作将拖放冲刺（sprint）规划和灵活的工作项目跟踪与全面的可追溯性相结合，为您的所有想法（大大小小）提供完美的家。实践#3-定义指标和合规性报告必须确定可接受的安全质量最低级

59、别，并让工程团队负责满足这些标准。尽早定义这些可帮助团队了解与安全问题相关的风险，在开发过程中识别和修复安全缺陷，并将标准应用于整个项目。设置有意义的Bug 栏需要明确定义安全漏洞的严重性阈值（例如，使用严重或重要严重级别发现的所有已知漏洞都必须在指定的时间范围内进行修复），并且在设置后永远不会放松它。为了跟踪关键性能指标（KPI）并确保安全任务的完成，组织（如Azure DevOps）使用的错误跟踪和/或工作跟踪机制应允许安全缺陷和安全工作项明确标记为安全，并标有相应的安全严重性。这允许准确跟踪和报告安全工作。向Azure DevOps/TFS添加bugbarSDL 安全bagbar（示例）

60、创建安全流程时需要考虑的基本标准SDL 隐私错bugbar（示例）创建隐私过程时需要考虑的基本标准添加或修改字段以跟踪工作Azure DevOps 服务器 2019|TFS 2018|TFS 2017|TFS 2015|TFS 2013练习#4-执行威胁建模威胁建模应在存在有意义的安全风险的环境中使用。威胁建模可以在组件、应用程序或系统级别应用。这种做法允许开发团队考虑、记录和（重要）在其计划的运营环境中和结构化方式讨论设计的安全影响。将结构化方法应用于威胁方案有助于团队更有效、更便宜地识别安全漏洞，确定这些威胁的风险，然后进行安全功能选择并建立适当的缓解措施。微软威胁建模工具Microsof

61、t 威胁建模工具通过可视化系统组件、数据流和安全边界的标准表示法，使所有开发人员的威胁建模更加轻松。它还可帮助威胁建模人员根据软件设计的结构识别他们应该考虑的威胁类别。我们设计了该工具时考虑到了非安全专家，通过提供创建和分析威胁模型的明确指导，使所有开发人员都更容易进行威胁建模。实践#5-建立设计要求SDL 通常被视为帮助工程师实现安全功能的保证活动，因为功能在安全性方面经过精心设计。为此，工程师通常依赖于安全功能，如加密、身份验证、日志记录等。在许多情况下，安全功能的选择或实现已证明非常复杂，以至于设计或实现选择可能会导致漏洞。因此，至关重要的是，在一致地应用这些保护时，必须始终如一地应用这

62、些保护。实践#6-定义和使用加密标准随着移动和云计算的兴起，确保所有数据（包括安全敏感信息以及管理和控制数据）在传输或存储时受到保护，防止意外泄露或更改至关重要。加密通常用于实现此目的。在使用加密的任何方面时做出错误的选择可能是灾难性的，最好制定明确的加密标准，提供有关加密实现的每个元素的详细说明。这应该留给专家。一个好的一般规则是只使用行业审查的加密库，并确保它们实现的方式允许在需要时轻松替换它们。实践#7-管理使用第三方组件的安全风险如今，绝大多数软件项目都是使用第三方组件（商业和开源）构建的。选择要使用的第三方组件时，了解其中的安全漏洞可能对集成它们的大型系统的安全性产生的影响非常重要。

63、准确清点第三方组件，并在发现新漏洞时制定响应计划，将大有作为，以减轻这种风险，但应考虑进行额外的验证，具体取决于组织的风险偏好，使用的组件类型以及安全漏洞的潜在影响。开源的好处将开源软件作为开发过程的一部分有很多好处，其中一些包括：增加上市时间。通过将现有组件连接在一起，而不是从零开始实现所有组件，更快地创建软件。质量更高。所有软件组件都可能包含缺陷，但专注于专用软件组件通常比让许多工程师多次单独解决相同问题更高质量。社区。通过贡献新功能、报告 Bug 或与所使用的开源项目进行交互，您可以分担代码库的成本和收益。正确管理此风险必须采取的最低步骤。库存开源了解正在使用哪些开源组件以及在哪里使用。

64、执行安全分析确保所有已识别的组件没有安全漏洞。使开源保持最新使开源组件保持最新。调整安全响应流程准备一种与您的整体安全响应计划保持一致的方法。实践#8-使用已批准的工具定义并发布已批准的工具及其关联的安全检查的列表，例如编译器/链接器选项和警告。工程师应努力使用最新版本的已批准工具（如编译器版本），并利用新的安全分析功能和保护；开发团队只需要关注自己的开发任务，而开发工具、编译器等的选择让专业的工具团队来完成，工具团队通过自己的研究会有更专业的指导和选择，然后提供给开发团队；iPhong XCode Ghost苹果手机病毒事件的教训；SDL推荐的工具代码安全性用于Visual Studio等的

65、插件凭据扫描程序（CredScan）*由 Microsoft 开发和维护的工具，用于识别凭据泄漏，如源代码和配置文件中的凭据泄漏。微软威胁建模工具通过传达其系统的安全设计、使用经过验证的方法分析潜在安全问题的设计以及建议和管理安全问题的缓解措施，创建和分析威胁模型的工具。BinSkim验证工具，用于分析二进制文件，确保它们符合 SDL 要求和建议。Roslyn分析器*分析器用于在生成时分析代码，如静态代码分析（如果启用了代码分析），但也可以在键入时进行实时分析。如果启用完整的解决方案分析，Roslyn 分析器还可以提供编辑器中未打开的代码文件的设计时间分析。C/C+的代码分析*安装 Visua

66、l Studio 团队系统开发版或 Azure DevOps 时提供的静态分析器，可帮助检测和更正代码缺陷。微软DevSkim*IDE 扩展和语言分析器的框架，在开发人员编写代码时在开发环境中提供内联安全分析。为 Azure 提供安全 DevOps 工具包脚本、工具、扩展和自动化的集合，这些脚本、工具、扩展和自动化支持开发操作团队的端到端 Azure 订阅和资源安全需求。微软安全风险检测*微软独特的模糊测试服务，用于查找软件中的安全关键错误。安全风险检测可帮助客户快速采用过去 15 年在 Microsoft 进行实战测试的实践和技术。TSLint+tslint-微软-contrib其他 Mic

67、rosoft 为流行的免费 TSLint TypeScript linter 编写了安全规则。攻击表面分析器用于突出显示 Windows、Linux 或 MacOS 操作系统上的系统状态、运行时参数和可安全对象的变化的工具。应用程序检查器跨平台工具，通过分析源代码识别有趣的特性和特征，使您能够更好地了解程序的功能。实践#9-执行静态分析安全测试（SAST）在编译之前分析源代码提供了一种高度可扩展的安全代码审查方法，有助于确保遵循安全编码策略。SAST 通常集成到提交管道中，以便每次构建或打包软件时识别漏洞。但是，某些产品集成到开发人员环境中，以发现某些缺陷，例如存在不安全或其他被禁止的功能，并

68、在开发人员正在积极编码时用更安全的替代方法替换这些缺陷。没有一种尺寸适合所有解决方案，开发团队应决定执行 SAST 的最佳频率，并可能部署多种策略，以平衡生产率和足够的安全覆盖范围。VSTS安全工具市场实践#10-执行动态分析安全测试（DAST）对完全编译或打包的软件执行运行时验证检查功能，这些功能仅在集成和运行所有组件时才明显。这通常是使用一套预先构建的攻击工具或工具实现的，这些工具专门监视应用程序行为以查找内存损坏、用户特权问题和其他关键安全问题。与 SAST 类似，没有一刀切的解决方案，虽然某些工具（如 Web 应用程序扫描工具）可以更容易地集成到连续集成/连续交付管道中，但其他 DAS

69、T 测试（如模糊化）需要不同的方法。实践#11-执行渗透测试渗透测试是一种软件系统的安全分析，由模拟黑客操作的熟练安全专业人员执行。渗透测试的目的是发现编码错误、系统配置错误或其他操作部署弱点导致的潜在漏洞，因此测试通常发现最广泛的漏洞。渗透测试通常与自动和手动代码审查结合执行，以提供比通常可能更高的分析级别。使用白盒模糊功能进行自动渗透测试安全研究人员和黑客越来越多地使用模糊作为查找漏洞的主要技术之一。黑客通常练习黑盒模糊-生成数据的各种排列，而实际上不会将其与分析数据的代码相关联。模糊是一种系统的方法来查找代码中的错误，这些缺陷是安全错误最严重的原因。模糊化能够查找远程代码执行（缓冲区溢出

70、）、永久拒绝服务（未处理的异常、读取 AV、线程挂起）和临时拒绝服务（泄漏、内存峰值）。模糊不仅发现缓冲区边界验证的缺陷，还发现状态机逻辑、错误处理和清理代码中的故障。攻击表面分析器攻击表面分析器的核心功能是在安装软件组件之前和之后分散操作系统的安全配置的能力。这一点很重要，因为大多数安装过程都需要提升权限，一旦授予，可能会导致意外的系统配置更改。攻击 Surface 分析器当前报告对以下操作系统组件的更改：文件系统（提供静态快照和实时监视）用户帐户服务网络端口证书注册 表COM 对象（新！事件日志（新建！防火墙设置（新建！实践#12-建立标准事件响应流程制定事件响应计划对于帮助解决随时间而出

71、现的新威胁至关重要。它应与组织的专用产品安全事件响应团队（PSIRT）协调创建。该计划应包括在发生安全紧急情况时与谁联系，并建立安全服务协议，包括从组织内其他组继承的代码和第三方代码的计划。在需要之前，应测试事件响应计划！SDL和DevOps的融合安全 DevOps使安全原则和实践成为 DevOps 不可或缺的一部分，同时保持更高的效率和生产率从一开始，Microsoft SDL 就确定安全性需要成为每个人的工作，并在 SDL 中包括项目经理、开发人员和测试人员的做法，所有这些都旨在提高安全性。此外，它认识到一个大小并不适合所有开发方法，因此描述了经过验证的灵活实践和活动，这些实践和活动使用经

72、典瀑布或较新的敏捷来提高软件应用程序在开发每个阶段的安全性方法。但是，除了考虑生产环境外，SDL 还不包括操作工程师的活动。DevOps 方法改变了这一点。现在，开发和操作已紧密集成，以便快速、持续地向最终用户交付价值。DevOps 已取代孤立的开发和运营，以创建多学科团队，与共享和高效的实践、工具和 KPI 协同工作。要在这种快速移动的环境中提供高度安全的软件和服务，安全以相同的速度移动至关重要。实现此目的的一个方法是在开发（SDL）和操作（OSA）流程中构建安全性。实践#1 提供培训培训对成功至关重要。确保每个人都了解攻击者的观点、目标，以及他们如何利用编码和配置错误或体系结构弱点，将有助

73、于吸引每个人的注意力，并提高集体知识标准。实践#2_定义需求建立考虑到安全性和合规性控制的最低安全基准。确保这些已烘焙到DevOps 流程和管道中。至少，确保基线考虑到实际威胁，如OWASP 前 10 名或SANS 前 25 名以及已知存在或可能由您选择的技术堆栈中的人为错误引起的行业或法规要求和问题。实践#3 定义指标和合规性报告通过定义推动行动和支持合规性目标的特定指标，与工程师一起推动您想要的行为。实践#4 使用软件组合分析（SCA）和治理选择第三方组件（商业和开源）时，了解组件中的漏洞可能对系统整体安全产生的影响非常重要。SCA 工具可帮助进行许可暴露，提供组件的准确清单，以及使用引用

74、的组件报告任何漏洞。在使用高风险的第三方组件时，您也应该更加有选择性，并考虑在使用它们之前执行更彻底的评估。实践#5_执行威胁建模虽然威胁建模DevOps 中可能具有挑战性，因为它感知到速度缓慢，是任何安全开发过程的关键组成部分。在大多数情况下，将结构化方法应用于威胁方案有助于团队更有效、更便宜地识别安全漏洞，确定这些威胁的风险，然后进行安全功能选择并建立适当的缓解措施。至少，在存在有意义的安全风险的环境中，应使用威胁建模。实践#6使用工具和自动化使用经过精心挑选的工具和智能自动化，这些工具和智能自动化已集成到工程师的世界（如集成开发环境）。在现代工程领域，很容易假设自动化是解决方案，自动化是

75、关键，但在选择工具时必须有选择性，并在部署工具时要小心。目标是解决问题，而不是使工程师在日常工程经验之外使用太多的工具或外星流程来超载。用作安全 DevOps 工作流一部分的工具应遵循以下原则：工具必须集成到 CI/CD 管道中。工具不需要安全专业知识。工具必须避免报告问题出现高误报率。将静态应用程序安全测试（SAST）集成到 IDE（集成开发环境）中，可以深入了解语法、语义，并提供及时学习，防止在应用程序代码提交到代码存储库之前引入安全漏洞。同样，将动态分析安全测试（DAST）工具集成到持续集成/连续交付管道中，将有助于快速发现只有在集成和运行所有组件时显而易见的问题。Azure DevOp

76、s 的扩展实践#7 保持凭据安全在预提交期间，需要扫描源文件中的凭据和其他敏感内容，因为它们降低了将敏感信息传播到团队的 CI/CD 流程的风险。请考虑使用自带密钥（BYOK）解决方案使用硬件安全模块（HSM）生成密钥，而不是将敏感密钥存储在代码中。实践#8使用持续学习与监控通过高级分析监视应用程序、基础设施和网络有助于发现安全性和性能问题。当利用与监视工具相结合的持续集成/持续部署（CI/CD）实践时，您将能够更好地了解应用程序运行状况，并主动识别和降低风险，以减少遭受攻击的风险。监视也是支持纵深防御战略的重要组成部分，可以减少组织识别（MTTI）的平均时间，并减少包含（MTTC）指标的平均

77、时间。持续监控发布的应用监控您的应用程序获得监视Web应用程序的可用性，性能和使用情况所需的一切，无论它们是托管在Azure还是本地。Azure Monitor支持流行的语言和框架，例如.NET，Java和Node.js，并与DevOps流程和工具（例如Azure DevOps，Jira和PagerDuty）集成。跟踪实时指标流，请求和响应时间以及事件。监视应用程序和基础结构Azure 高级威胁检测Microsoft Online Tech Forum微软在线技术峰会李辉微软特约资深讲师 微软技术社区 Regional Director数据防泄露，基于 Microsoft 信息保护和威胁防护全

78、流程实战Microsoft Online Tech Forum微软在线技术峰会工作人员曾经无意地将敏感数据分享给错误的人Stroz Friedberg设备应用身份数据本地环境本地环境超出控制如何在移动设备中保护企业数据和文件？如何保护分享到企业外部的数据？如何发现，并保护在 SaaS 应用中的数据？如何保护本地环境和云服务中的敏感数据？统一分类丰富的仪表板直观体验零碎的信息分散的知识用户执行不力保护任何位置的数据Microsoft 信息保护敏感信息检测和分类基于策略保护应用监控和补救应用程序本地环境云服务设备覆盖加速合规性MICROSOFT CLOUD APP SECURITY监控15k+云应

79、用中的数据访问、使用，防范数据非法访问AZURE SECURITY CENTER INFORMATION PROTECTION 在Azure SQL、SQL Server 和其他Azure 存储库中分类和标记敏感的结构化数据OFFICE APPS在Excel/Word/PowerPoint/Outlook 中保护工作中的敏感信息AZURE ADVANCED THREAT PROTECTION识别高级数据攻击和内部威胁OFFICE 365 DATA LOSS PREVENTION防范Exchange Online/SharePoint Online/OneDrive for Business 中

80、的数据泄露SHAREPOINT&GROUPS保护文档库和列表中的文件OFFICE 365 ADVANCED DATA GOVERNANCE对Office 365 中的敏感和重要数据应用保留和删除策略ADOBE PDFs 在Adobe Acrobat Reader上查看本地标记和受保护的PDFWINDOWS INFORMATION PROTECTION在Windows 10设备上分离个人和工作数据，防止工作数据移动到非工作位置OFFICE 365 MESSAGE ENCRYPTION在Office 365中向公司内外的任何人发送加密电子邮件CONDITIONAL ACCESS基于策略控制对文件的

81、访问，如身份认证、计算机配置、地理位置检测|分类|保护|监控SDK FOR PARTNER ECOSYSTEM&ISVs在ISV 中使用标签、应用保护在整个生命周期中跟踪数据基于策略对敏感数据进行扫描与检测基于敏感度对数据进行分类与标注应用保护操作，包括加密、访问限制查看报告并评估分类、标记和受保护的数据安全与合规中心的统一标签Demo标签 是可定制的,明确显示的,持续保护的。标签将是应用和实施数据保护策略的基础在文件和电子邮件中，标签作为文档元数据持久保存在SharePoint Online中，标签作为容器元数据持久保存机密在跨平台的 Office 应用中使用标签Demo在 Microsof

82、t Cloud App Security 自动标签Demo监控受标签保护的数据Demo高级设备管理强制设备加密、密码/PIN 要求、越狱检测/根检测等设备安全配置限制在移动设备和PC上对特定的应用程序或URL地址访问限制应用程序和URLsManaged appsPersonal apps个人应用MDM(第3方或Intune)托管的应用企业数据个人数据多身份策略在访问后控制企业数据,并将其与个人数据分开数据控制/隔离网络攻击和数据破坏始于仿冒的电子邮件用户匿名用户行为不熟悉的登录位置攻击者网络钓鱼攻击用户账号受到威胁#攻击者尝试内网入侵漫游攻击者访问敏感数据特权账号损坏匿名用户行为入侵漫游攻击特

83、权升级账户模拟数据泄露攻击者窃取敏感数据云数据和SaaS 应用零日漏洞攻击/暴力破解攻击Microsoft IntuneOffice 365 Threat IntelligenceWindows Defender Advanced Threat ProtectionAzure Active DirectoryOffice 365 Advanced Threat ProtectionMicrosoft Cloud App SecurityAzure Security CenterAzure Advanced Threat ProtectionWindows 10身份：验证和保护用户和管理员帐户用

84、户数据：评估电子邮件和文档中是否包含恶意内容终端：保护来自传感器或用户设备的信号基础设施：保护云和本地位置的服务器、虚拟机、数据库和网络云应用：保护 SaaS 应用程序及其相关数据存储13254Microsoft 威胁防护Exchange Online ProtectionSQL ServerWindows Server LinuxOffice 365 ATP电子邮件及文件存储保护Azure ATP身份保护Windows Defender ATP终端保护C:http:/John Doelllllll自动检测信息威胁，实现智能防护Demo信息保护启用 DLP 和 AIP 策略Office 365

85、 ATP、Windows Defender ATP 和Azure ATP了解并开始使用 Cloud Apps Security使用统一标签对信息进行分类Microsoft Online Tech Forum微软在线技术峰会Holly Gong(龚祺莎)洞察威胁，全面保护 Microsoft Threat Protection 侦测调查的威力https:/ 年度五大勒索病毒家族GandCrab勒索病毒:2018年GandCrab首次出现，之后经过5次版本迭代，波及罗马尼亚、巴西、印度等数十国家地区，全球累计超过150万用户受到感染。还被国内安全团队称为“侠盗病毒”，因为他们后期的版本中避开了战火

86、中的叙利亚地区。Sodinokibi勒索病毒:在不到半年时间，该勒索病毒已非法获利数百万美元。GlobeImposter勒索病毒:该勒索病毒又称“十二生肖”病毒，会以“十二生肖英文名+4444”的文件后缀，对文件进行加密。而GlobeImposter自2017年5月首发至今，已经历八个版本迭代，并且后缀也从“十二生肖”，变身希腊“十二主神”。Stop勒索病毒:走薄利多销的敛财路线，解密赎金需要980美元，并且72小时联系软件作者还可享五折优惠。该病毒主要利用木马站点，通过伪装成软件破解工具或捆绑在激活软件进行传播，用户中招率奇高。Phobos勒索病毒:与Dharma病毒（又名CrySis）属于

87、同一组织，并且该病毒在运行过程中会进行自复制，和在注册表添加自启动项，如果没有把系统残留的病毒体清理干净，很可能会遭遇二次加密。勒索病毒产业链勒索者勒索病毒作者传播渠道商勒索病毒受害者/企业代理攻击缴纳高额赎金缴纳赎金/解密金合作浏览到网站钓鱼邮件打开附件单击 URL暴露及安装攻击链条解析Office 365 ATP恶意软件检测、安全链接和安全附件多种功能，最高的安全保障安全链接在点击时提供恶意网页侦测功能安全附件防范恶意附件智能防欺诈对于仿发件人姓名，域名，等的欺诈邮件进行识别提醒11浏览到网站钓鱼邮件打开附件单击 URL暴露及安装在整个攻击链条中提供保护Office 365 ATP恶意软件

88、检测、安全链接和安全附件Microsoft Defender ATP终端检测和响应（EDR）以及终端保护（EPP）命令及控制Microsoft Microsoft Defender Advanced Threat ProtectionDefender Advanced Threat ProtectionHow it fits in the endpoint security stack?Endpoint Protection Platform(EPP)Device control FirewallAnti-MalwareApplication SandboxingVulnerability a

89、ssessmentApplication controlEnterprise mobility management(EMM)Memory protectionBehavioral monitoring of application codeFull-disk and file encryptionEndpoint data loss prevention(DLP)Endpoint Detection and Response(EDR)Detect security incidents at the endpoint,Investigate security incidents,Contain

90、 the incident,Remediate endpointsEPP(Traditional AV)EDRWindows DefenderAdvanced Threat ProtectionWindows Defender AntivirusEPP and EDR LeaderClient 大部分的恶意软件会被高精准的Windows Defender AV通过本地的机器学习模型，启发法及行为数据分析，得以成功拦截Cloud metadata 借以云端机器学习规则来评估Windows Defender AV客户端发送的metadata，鉴别可疑信号Sample 可疑文件的副本将上传以通过mu

91、lti-class及深度神经网络等规则进行评估判断Detonation 可疑文件将在沙盒中执行，并通过multi-class及深度神经网络等机器学习技术对其进行动态分析Big data 用机器学习模型和高级规则分析及关联全球Microsoft智能安全图谱的数据，自动化识别恶意攻击本地云端Threat Research ExpertsThreat Research ExpertsProProE3E3E5E5ProProE3E3E5E5E5E5E5E5E5E5Demo-MDATP浏览到网站钓鱼邮件打开附件单击 URL暴露及安装命令及控制用户帐户被盗暴力攻击账户或使用被盗帐户凭据攻击者尝试横向移动特

92、权帐户被盗域 被盗攻击者访问敏感数据泄露数据Azure AD 身份保护身份保护以及条件性访问微软云应用安全（MCAS）扩展对其他云应用的保护及条件性访问在整个攻击链条中提供保护Office 365 ATP恶意软件检测、安全链接和安全附件Microsoft Defender ATP终端检测和响应（EDR）以及终端保护（EPP）Azure ATP身份保护攻击者收集枚举 以及配置数据钓鱼邮件Jack攻击内幕 电信诈骗JackJillBob有批准付款流程的权限有建立付款流程的权限攻击内幕 电信诈骗JackJillBob钓鱼邮件JillBob攻击内幕 电信诈骗JackJillBob钓鱼邮件/横向渗透Ji

93、llBob攻击内幕 电信诈骗JackJillBobJillBob攻击内幕 电信诈骗JackJillBobJillBob批准付款流程建立付款流程攻击内幕 电信诈骗异常资源访问帐户枚举净会话枚举DNS 枚举SAM-R 枚举异常工作时间使用NTLM、Kerberos 或 LDAP 的暴力攻击纯文本身份验证中公开的敏感帐户在纯文本身份验证中公开的服务帐户蜜罐帐户可疑活动异常协议实现恶意数据保护私人信息（DPAPI）请求异常VPN异常身份验证请求异常资源访问传递票证传递哈希过桥哈希恶意服务创建MS14-068 漏洞（伪造PAC）MS11-013 漏洞（银色PAC）骨架密钥恶意软件黄金票证远程执行恶意复制

94、请求敏感组的异常修改凭据被盗!侦察!横向渗透权限升级域的掌控29UsersEndpointsCloud AppsData11 billionmalicious and suspicious messages blocked in 2019300 billionuser activities profiled and analyzed in 201912 billioncloud activities inspected,monitored and controlled in 20192.3 billionendpoint vulnerabilities discovered dailyAzur

95、e ATPMicrosoft Defender ATPMicrosoft Cloud App SecurityOffice 365 ATPDemo-MTPIoTContainersNetwork TrafficServer VMsSQLAzure App ServicesEndpointsUsersCloud AppsDataSIEMSWOT:Microsoft,Security Products and Features,WorldwideGartner names Microsoft a Leader in 2019 Endpoint Protection Platforms Magic

96、Quadrant/(Full report)仅有四个产品获得全满分Microsoft Defender gets full score in AV-Test 访问管理象限领导者统一端点管理象限领导者Microsoft Online Tech Forum微软在线技术峰会李辉微软特约资深讲师 微软技术社区 Regional Director通过智能身份和访问管理，保护企业安全Microsoft Online Tech Forum微软在线技术峰会黑客行为导致的泄露事件都与密码被盗或弱密码有关谁在访问？他们是什么角色？这个账号是否已经被泄露？这个用户身处何处？他正在何处登录？这个IP地址是匿名的吗？哪

97、个应用正在被访问？是否存在业务影响？该访问设备是否正常？是否是被管理的设备？它是否已经被恶意软件控制？哪些数据正在被访问？是否是机密数据？是否允许脱离权限访问？身份和访问管理构建第一道防线如何获得 Zero Trust安全身份验证条件访问身份保护密码=最薄弱的环节身份经常面临风险构建第一道防线身份验证授权管理治理自主式管理客户 IAM管理云端基础结构 用户身份验证 MFA 单点登录（SSO）联合 无密码 基于证书/智能卡的身份验证 基于机器学习的风险评分 自适应访问 Oauth授权 OAuth 令牌 属性映射 RBAC 会话生命周期管理 ABAC 用户管理 组管理 域管理 委派管理 应用管理

98、密码管理 访问认证 特权访问/JIT 权利管理 身份生命周期 访问请求 工作流 预配 政策管理 报告与分析 数据访问策略 密码重设 组管理 凭据注册 凭据还原 应用启动 应用编录 访问请求 个人资料管理 社交身份联合 自助服务注册 自定义最终用户体验 客户数据管理 联合管理 管理用户和合作伙伴 私隐管理 托管身份 PaaS 身份管理 IaaS/VM 身份管理应用程序访问云应用经典应用 预集成的SSO 和预配 BYO SAML 和 OAUTH 2.0 自定义预配（SCIM）Web 访问管理器（Kerberos、SAML、OATH2、基于标头）托管目录服务（LDAP、NTLM、Kerberos）安

99、全混合访问（Akamai、Arayaka、Citrix、F5、Zscaler）Windows VDI 集成开发人员支持 API 管理 API 安全 解决方案API SDK 外部化 RBAC/PEP/PDP 应用程序注册事件日志记录与报告身份标准和法规遵从可扩展性、性能、可伸缩性、易于使用身份与访问管理的关键功能身份和访问管理确保用户授权并可以安全访问应用、数据和设备构建智能且坚固的身份基础从云端管理您的所有身份将所有应用程序连接到 Azure AD治理所有用户的访问权限部署行业领先的安全性从云端管理您的所有身份Windows ServerActive DirectoryAzure公有云Micr

100、osoft Azure Active DirectoryCommercialIdPsConsumerIdPsPartnersCustomersAzure ADConnectConditional AccessMulti-Factor AuthenticationAddition of custom cloud appsRemote Access to on-premises appsPrivileged Identity ManagementDynamic GroupsIdentity ProtectionAzure AD DSOffice 365 App LauncherGroup-Base

101、d LicensingAccess Panel/MyAppsAzure AD ConnectConnect HealthProvisioning-DeprovisioningAzure AD JoinSelf-Service capabilitiesMDM-auto enrollment/Enterprise State RoamingSecurity ReportingAccess ReviewsHR App IntegrationB2B collaborationAzure ADB2CSSO to SaaSMicrosoft Authenticator -Password-less Acc

102、ess我想让我的员工从任何位置、任何设备安全且方便地访问每个应用程序我需要我的客户和合作伙伴可以从任何地方访问他们所需的应用程序，并无缝协作我想快速将应用程序部署到设备，使用更少的成本做更多的事情，并自动执行加入、删除和离开的流程我需要开发企业应用程序，并希望集成Azure Active Directory的身份验证我想保护针对我的资源的高级威胁我需要遵守行业规范和信息保护法规Conditional AccessMulti-Factor AuthenticationAddition of custom cloud appsRemote Access to on-premises appsPri

103、vileged Identity ManagementDynamic GroupsIdentity ProtectionAzure AD DSOffice 365 App LauncherGroup-Based LicensingAccess Panel/MyAppsAzure AD ConnectConnect HealthProvisioning-DeprovisioningAzure AD JoinSelf-Service capabilitiesMDM-auto enrollment/Enterprise State RoamingSecurity ReportingAccess Re

104、viewsHR App IntegrationB2B collaborationAzure ADB2CSSO to SaaSMicrosoft Authenticator -Password-less Access123456On-premises/Private cloudAzure ADConnectWindows ServerActive DirectorySelfServiceMFASinglesign-onMicrosoft Azure Active DirectoryAzure AD 与 Cloud HR 用户预配Cloud HRAzure ADActive Directory将所

105、有应用程序连接到 Azure AD活跃应用100%年度同比增长身份管理解决方案源自 Microsoft，但又并非仅为 Microsoft 所用2019 年 10 月Azure AD 安全的应用联合访问阻止访问要求MFA允许访问Azure AD登录条件访问应用和数据云应用控制器Azure AD应用代理基于本地或外围的网络ZAPIERGITHUBADOBE CREATIVE CLOUDPAYPALATLASSIAN CLOUDSEDGEWICK VIAONEFUZEZSCALER PRIVATE ACCESSONETEAMATLASSIANWORKDAYWORKPLACE BY FACEBOOKS

106、ALESFORCESERVICENOWTWITTERBOXCITRIX XENAPPF5 BIG-IP ADCPLANMYLEAVEGODADDYORACLE LINUXRED HAT ENTERPRISE LINUX 7WORDPRESS MULTI-TIERLAMPKRONOSBARRACUDA WAFINFOR CLOUDSTUIEOCTOPUS DEPLOYNGINX PLUSSUCCESSFACTORSDOCUSIGNAMERICAN EXPRESSCONCURJIVELUCIDCHARTMYDAYNETSUIREWORDPRESS.COMZSCALERZIPRECRUITERZEN

107、DESKSTRIPEADPUSERVOICEMARKETOSMARTSHEETSYMANTEC TRUST CENTERPLURALSIGHTCORNERSTONE ONDEMANDSAPEVERNOTECISCOAzure AD 应用程序库3,200 个预集成的 SaaS 应用程序应用程序单一登录Demo治理所有用户的访问权限生产力安全资源访问的及时性正确人人使用正确的权限访问资源Azure AD 权利管理持续审核与报告访问权审阅与修订职位变更访问权限预配请求其他访问权限用户入职身份治理Demo行业领先的安全性进入一个没有密码的世界Microsoft AuthenticatorFIDO2 安

108、全密钥Windows Hello通过 Azure AD 实现无密码登录DemoAzure AD条件访问用户和位置设备应用实时风险条件访问条件访问+身份保护公司网络地理位置MicrosoftCloud App SecurityMacOSAndroidiOSWindowsWindowsDefender ATP客户端应用浏览器应用Google IDMSAAzure ADADFS要求 MFA允许/阻止访问阻止旧式身份验证强制密码重置*访问受限控制员工和合作伙伴用户和角色受信任和合规的设备物理和虚拟位置客户端应用和身份验证方法条件机器学习策略实时评估引擎会话风险3171TB生效策略企业应用条件访问DemoOffice 365 ATP电子邮件及文件存储保护Azure ATP身份保护Windows Defender ATP终端保护C:http:/John Doelllllll用户身份保护DemoMicrosoft 通过智能身份和访问管理 保护企业安全行业领先的安全性简单、集成、完备的身份解决方案开放和互操作的生态系统开启 MFA，降低 99.9%身份风险开启无密码的旅程使用 Azure AD 条件访问保护企业应用智能身份和访问管理保护企业安全使用 Azure AD 云端管理用户身份