以史为镜,可以知得失。微软可信计算部门对2006年到2012年的所有微软安全补丁进行了统计和分析,希望通过该项调查,从微软产品漏洞数量的变化上来验证微软安全技术的成效。在调查报告中,研究人员还对漏洞种类进行了趋势分析和统计,通过大量的图表,向安全管理人员提供了最为直观的分析结果,可以帮助企业更好地规避安全风险。如,在报告中可以看到,这七年中远程代码执行漏洞的发生率逐步降低、曾经最普遍的堆溢出漏洞利用率也从2006年的43%降至2012年的7%。说明 DEP 和 ASLR 等技术确实在系统安全保护上起到了显著的效果。报告中针对各种常见漏洞提供全面的分析,包括攻击者的利用方法和其防范措施,我们相信该报告可以更好地帮助用户进行风险管理。
企业高管要做出与 IT 安全相关的明智决策,需要得到符合业务目标的清晰实时的信息。然而近期一份显示,技术人员在这方面有很大的提升空间。IT 人员给出的安全度量往往更注重安全性能,而管理人员则更重视成本和业务目标。此外,很多 IT 人员仅在发生安全事故时才和管理人员沟通,缺乏日常交流也成为影响沟通效率的重要因素。微软(Security Intelligence Report)通过数据、图表等直观的方式展现了当前安全威胁形势,可以有效提高管理者的安全意识。对于考虑云服务的企业,微软 可以帮助对用户现有的 IT 环境进行评估,给出最佳实践方案。希望这些工具能使企业管理者与技术人员间的双向沟通变得更为高效。
