安全访谈：微软Joy Chik 畅谈身份安全

在新冠疫情期间与客户进行了长时间的虚拟通话之后，微软的身份和网络访问总裁Joy Chik很高兴能够再次上路。她在和我们在伦敦会面的几天前飞到英国，尽管从西雅图到希斯罗机场的红眼航班带来了可怕的时差，但她还是在自己的日程表里排满了与客户的会面。

大约七年前，Chik开始负责管理微软的身份识别团队，不过她已经在微软工作了25年，最初是一名软件工程师，负责微软远程桌面产品的早期迭代，此后她被首席执行官Satya Nadella亲自选中参与Intune 应用程序、设备和身份管理平台，她将这个平台描述为微软安全业务之旅的开端。

她表示：“我开始将这个产品从传统的软件基础过渡到云端，覆盖多个平台。”“我负责了好几年，然后……机会来了，我开始负责身份识别团队。”

从今年6月份起，身份识别平台就更名为Entra ID，不再使用原来的名字Azure Active Directory (AD)，Chik认为它是微软目前的功能核心，因为它涵盖了公司的企业和消费者业务。

身份是你的“大门”

她表示：“从安全的角度，可以说一切都始于身份，因为我们是控制一切的大门。”

此外，由于微软全球装机量规模巨大，大多数企业用户都会在工作中的某个时刻接触到Chik的团队的工作，这给了她在身份问题上真正发挥领导作用的机会。

她表示：“保护我们的商业客户和消费者客户的责任，既令我谦卑，又对这种影响很有成就感。”

“这也绝对是一项挑战，因为你永远也不能说任务已经完成，工作结束了。这是一段永远的旅程，或者可以说是一场竞赛，因为攻击者越来越老练，他们在不断创新，没有更好的词来形容他们。”

当然，对于身份，更具体地说，对于凭证来说，大家可以说网络犯罪分子其实并不需要很多的创新，他们可以轻松地进行暴力攻击、网络钓鱼或者社交工程攻击，让人们放松警惕。微软的统计数据也证明了这一点。

Chik表示：“一年前，我们的数据显示，全球每秒钟大约发生一千次密码攻击。"如果把时间快进一年，这个数字增加了三倍。因此，现在每秒钟就有四千次密码攻击。”

造成这种现象的原因归根结底是密码仍然是我们访问在线服务的主要方式——尽管其固有的不安全性早已众所周知，并一再得到证实。

当然，也有一些巧妙的策略可以提高密码的安全性——每个人都在大肆宣传多因素身份验证（MFA），在某些情况下，微软默认为客户开启多因素身份验证。做出这样的决定也不算过分，因为多因素身份验证已经被证明可以大大降低攻击面。

不过，Chik表示，即使是 MFA 也并非万无一失，特别是面对那些下定决心的攻击者，他们熟悉生成式人工智能（GenAI）等最新的工具。

Chik表示：“随着生成式人工智能的出现，这些攻击正在变得越来越复杂。在传统的网络钓鱼攻击中，你会收到一封可疑的电子邮件，看起来像是微软发来的，但是你可能能够识破——其中有语法错误，而且非常模板化。”“但有了生成式人工智能，事情就变得更有针对性了。”

“作为一个行业，作为用户，我们都需要知道攻击正在加剧，我们需要做更多的事情来保持领先。这确实是一场要抢在攻击者前面的竞赛，我们需要继续创新，这样才能阻止坏事发生，而不仅仅是监测到它们发生了。”

人工智能：身份识别市场的缔造者？

但正如我们在过去12个月中了解到的那样，人工智能对于防御者和攻击者来说都是非常有用的工具，业界（包括微软）已经有了几年的先发优势。

Chik表示：“就 Entra而言，我们一直在使用人工智能来检测异常情况。”“你刚刚在你的笔记本电脑上登录了微软的Wi-Fi（她说的没错，我确实这么做了），它是可信的，这可能没什么问题。”

"但试想一下，如果你是在随便一家咖啡馆登录的，或者你的证书被盗，突然从其他国家登录。人工智能引擎就会检测到你的登录模式与通常的登录模式不同，并发出警报，然后是否提示你进行多因素身份验证就取决于你所工作的公司采用的政策。有了这样的功能，我们就可以用数据进行更实时的风险评估。”

但人工智能的应用不仅限于异常检测。微软还利用它来帮助客户解决身份策略和管理中固有的一些复杂问题。

Chik表示：“作为一个行业，我们有很多身份策略设置，但客户不一定知道应该使用哪套策略来保护他们的环境。”“想象一下，你问问人工智能就知道该部署哪些策略。因为我们已经掌握了足够多的数据信号，知道你的环境中有什么，所以我们可以为企业客户推荐甚至开启策略。我认为这是非常强大的。”

对于身份识别团队来说，这也并非痴人说梦——该功能已作为微软安全领航（Security Copilot）服务的一部分上线，并于2023年10月底通过Early Access Programme向特定客户推出。

Security Copilot服务被称为世界上首个由GenAI驱动的安全产品，它还包含一系列广泛的功能，如通过Microsoft 365 Defender进行扩展检测和响应（XDR），以及通过Microsoft Defender Threat Intelligence进行威胁情报分析。微软声称，使用了该服务的预览版客户能够将核心安全操作时间减少高达40%。

进入无密码的未来

2004年2月，微软公司掌门人比尔.盖茨在一年一度的RSA网络大会上预言，传统密码无法应对现代在线服务的挑战，将很快消亡。

结果，在谷歌、苹果和微软不断的唱衰中，密码仍然在顽强地抵抗着光阴的逝去。

但不可否认的是，这三家公司都在倡导的“通行密钥（passkey）”——一种基于生物特征或密码的登录方式——是一个强有力的概念，而谷歌采用“通行密钥”的做法无疑表明变革之风正在兴起。也许你也能猜到，Chik也是“通行密钥”的热情拥趸。

她表示：“我们相信，作为一个行业，我们需要齐心协力，（而且）我们肯定会在 Windows和我们的身份验证应用程序中添加通行密钥支持。这绝对会实现的。”

传统的身份验证有三个所谓的“因素”--你知道的、你拥有的和你是什么。通行密钥无需知道什么（你的密码），而是使用你拥有的东西（你的设备）和你是的什么（你）进行验证。

Chik将其描述将个人的一部分与设备“捆绑”在一起。可以有多种形式，可以是生物识别（如指纹识别或面部识别），也可以是简单的PIN码（如自动取款机上使用的PIN码，在极少数情况下人们仍然需要现金），还可以是图案模式（多年来一直用于解锁安卓智能手机）。

她表示：“但我认为，最关键的一点是，通行密钥可以传到你的设备上，在其他地方对你进行身份验证，所以它不仅仅只有一种用途——如果你只用它来解锁你的智能手机，那就没什么意思了——它可以让你在不同的设备上启动不同的应用程序。”“这解决了用户头疼的问题，但更重要的是，它带来了很好的用户体验，而且更加安全。”

Microsoft Authenticator应用程序将无密码身份验证带给了微软的产品家族，已经得到了消费者的广泛采用，用户数量已达数百万。Chik表示：“事实上，我已经不记得上次使用密码是什么时候了，因为我只用Authenticator。”

她表示：“在消费者方面，我们可以为客户管理并打开它。对于商业客户，我们为IT和安全团队提供开启无密码的工具——因为这需要三到四个步骤。”

这一过程包括探索工作，例如找出组织内哪些地方最适合使用无密码，哪些地方使用旧方法可能更安全，以及在部署过程中对用户进行教育并提供支持。

企业用户还需要确保，如果有人丢失了手机并无法访问Microsoft Authenticator而被锁定在系统之外，也要有相应的应急措施。微软通过一种临时访问通行证的方式来处理这种情况，让受影响的用户能够恢复正常使用。

前移

对于Chik和微软的身份团队来说，未来是光明的。她表示：“从安全角度来看，身份可能会继续成为主战场。”

她说：“我们想要帮助客户的关键是如何前移——当我说前移时，我的意思是不仅仅是帮助他们发现正在发生的、不好的事情，而是主动帮助他们确保安全。”

微软希望通过对人工智能工具和Security Copilot等技术的投资，并通过为企业客户承担一些工作来消除与过时的身份选项有关的摩擦，为其庞大的用户群在城墙被攻破之前提供抵御恶意行为者的手段。