微软本周发布了两项新的Microsoft Defender安全解决方案,一为Microsoft Defender Threat Intelligence,可供组织的安全团队访问黑客最新的动态,主动搜索环境中的黑客痕迹,二是Microsoft Defender External Attack Surface Management,能够以黑客的角度来查看组织的攻击表面。
微软积极扩大其安全版图,除了内部设有国家级黑客关注团队、Microsoft 365 Defender安全研究团队,以及威胁情报中心(Microsoft Threat Intelligence Center,MSTIC)之外,也在去年买下了专门发展威胁情报及攻击表面管理服务的RiskIQ,迄今微软已关注35个勒索软件家族,以及250个各式各样的黑客集团。
新的Microsoft Defender Threat Intelligence即是来自于上述资源的集成,客户将可访问微软所创建的原始威胁情报数据库,它陈列了所有黑客集团的名称,以及它们所使用的工具与攻击战术流程(TTP),还能自门户网站看到随时更新的资讯。
图片来源/微软
微软指出,该服务等于是披露了黑客集团的面纱,协助组织的安全团队调查、阻止或删除藏匿于内部的恶意工具。
至于Microsoft Defender External Attack Surface Management则是用来发现那些未知或未受到管理的资源,等于是以黑客的角度来审视组织的攻击表面,并让安全团队可早一步防范。
图片来源/微软
这是因为有许多组织或企业可能拥有自己都已经遗忘或是没注意到的网络资产,它们可能是未被正式认可的影子IT(Shadow IT)、通过整合或并购而来的资产、不完整的目录、或是因自己或合作伙伴的疏忽而曝光的资产,而这些都是黑客寻找的切入点。
因此,Microsoft Defender External Attack Surface Management便借由每天扫描客户的网络环境,创建一个完整的目录以呈现客户所有连接网络的资产,包括那些没有被安排管理的资产。