全球資安的嚴峻挑戰
根據最新的Microsoft Data Security Index報告,企業面臨的資安威脅日益嚴重。74%的組織在過去一年中遭遇過至少一次資安危機,有許多使用地端ERP的企業遭受攻擊,被植入惡意軟體,駭客將企業的數據鎖定或竊取,並要求支付贖金,這些事件不僅導致數據洩漏,還造成業務中斷和經濟損失。
更令人擔憂的是,利用AI技術強化的網絡犯罪攻擊手段,對供應鏈的破壞性尤為嚴重。因為供應鏈涉及多方敏感資訊,不同單位的資安人員卻各司其職,只管轄自己負責的項目,缺乏一個統整性的資安策略,使得資訊不流通,不僅難以確定事件的完整範圍,也難以為其他部門預防未來潛在的駭客攻擊。
從這些趨勢看來,保護資訊安全的挑戰日益艱難,微軟的資安研究報告還指出,從惡意程式被下載開始,攻擊者可能僅需72分鐘便能開始外洩數據,企業卻需要平均277天才能發現並遏制這些攻擊,而地端ERP採用本地部署(on-premise)的特性使得處理資安問題的時間更長,企業必須完全自行承擔安全性的責任,不僅需要耗費高IT成本,維護基礎架構所載的機房伺服器環境,若供應商停止提供更新支援,企業內部的資料便完全暴露在風險之中。
透過此比較圖,您可以了解到Saas, Paas, Iaas與On-premise的管理責任歸屬比較,可以看到,若採用雲端ERP,不僅可以節省伺服器的硬體維護費用,更可以擁有全面整合的基礎建設,與運營系統的資訊安全保障。
如果你也關心資訊安全議題,想了解雲端平台有哪些安全防護措施,本文為您整理了微軟Azure與其整體Saas中詳細的資安措施,接下來,就讓我們來看看微軟針對軟體開發、登入憑證與人工智慧,具體有哪些資安策略吧!
微軟雲端的資安管理與數據保護策略
一、以安全為導向的軟體開發流程
微軟的所有軟體,從最初期的開發階段,就採取了一套系統化流程,稱為「動態安全開發生命週期」(dSDL)。這一過程將明確的安全性和隱私權需求納入開發流程的各階段,建立威脅模型,並結合AI的安全程式碼分析和GitHub Copilot,來進行原始程式碼審核和測試。確保工程師在開發、測試、部署微軟系統的每個階段都通過必要的檢查和核准,以確保系統能持續防範新的攻擊模式。
二、零信任身份識別保護
2023年,全球密碼攻擊次數從每月30億次增加到300億次,網絡犯罪份子使用更精密技術竊取登錄憑證。為應對這一威脅,微軟引入最新的身份保護技術,採取「零信任」策略,統一管理和驗證所有微軟產品和平台上的使用者、裝置和服務的身份與存取權限。也計劃在未來一年內為客戶提供更安全的多因素驗證(MFA)預設值,並擴大其適用範圍,特別針對客戶最需要保護的地方加強安全性。
另外,企業內部管理員亦可運用Azure AD的條件式存取(Conditional Access),根據使用者行為和資料機敏程度,設定不同的存取權限,平衡資料安全與使用便利性。
三、運用AI,加速漏洞回應和安全更新
微軟威脅情報中心(MTIC)和微軟威脅分析中心(MTAC)採用先進的AI工具和技術來偵測和分析網路威脅,AI可以對已知或未知攻擊提供自動化回應,當攻擊者試圖將威脅隱藏在眾多資料中時,AI技術能快速查找出威脅。這使得組織能即時監控和分析潛在安全風險,詳細識別和修正錯誤,讓修復雲端漏洞所需的時間減少50%。
微軟的「負責任AI」承諾
而針對AI與機器學習的疑慮,許多企業擔心的是,使用AI產製的內容或程式碼,被作為AI訓練的模型。對此,微軟強調,您的資料絕對不會被用來訓練微軟的AI模型。微軟早在2018年就率先制定並公開「負責任AI」6大原則,強調公平性、可靠性與安全、隱私及資安、包容性、透明度及當責。微軟還成立了負責任AI辦公室和負責任AI長,在全球進行倡議,推動AI技術的透明,和可信賴的AI使用願景。
值得信賴的雲端平台
Forrester Wave: Endpoint Security 2023年第四季度的報告中,微軟被評為領導者,特別在威脅情報、端點保護和漏洞修補三大方面獲得肯定,從開發端到使用者端都有詳細的規範,還有最高標準的負責任AI原則,為企業提供全方位資料保護解決方案。
微軟的Saas雲端資安規範是特別針對生成式AI和LLM的資料庫設計的,為消除公部門或企業對雲端安全性的疑慮,微軟除了透過明確合約規範,從開發階段就確保資料安全,更採用了Custom Manager Key技術來提供加密保護措施和訪問限制功能,確保所有用戶的數據僅存於其訂閱的雲端空間中。這意味著,即使是微軟的系統管理員,也無法存取客戶的數據。而AI的fine-tuning服務包括了資安合約,明確規定數據使用和處理方式,並提供客製化模型和算法服務,讓每個客戶的需求和設定獨一無二,以進一步提升數據安全性。
若您的企業正在評估更換ERP系統,或將ERP系統升級到雲端,或者正在考慮混合雲的解決方案,Microsoft Dynamics 365 與 Power Platform 都是透過 Microsoft Azure 資料中心託管的訂閱型軟體即服務。在Azure這個整合性的雲端平台,您將擁有一個無須自行維護、穩定安全的數據環境,更享有28天的資料備份。
而瀚資資訊作為具備20多年導入經驗的金級合作夥伴。我們能夠提供多國語言和本地化需求的支援,並針對不同行業,提供符合客戶業務目標的ERP或CRM系統諮詢與導入,無論您的企業在哪裡,我們都能夠即時為您提供服務。