微软宏：福音与诅咒

关键要点

• 微软宏在提升工作效率方面至关重要，但同时也带来安全风险。
• 恶意软件经常利用宏来进行攻击，IT 团队面临挑战。
• 理解宏的功能与潜在威胁有助于平衡生产力与安全性。

在数字化的工作环境中，微软宏扮演着双重角色：一方面，它们极大地提高了用户的工作效率，通过自动化重复性任务减少了单调的工作；另一方面，网络犯罪分子却非常容易在宏中嵌入恶意软件，从而绕过安全检测。

解决这个问题并不是非黑即白的。如今的工作场所，宏是必不可少的；而在当前威胁环境中，强有力的安全措施也是不可或缺的。即使公司希望完全阻止宏的使用，以避免生产力损失，但实际上这也是不可能的，因为这会造成严重的效率降低。因此，IT团队需要找到生产力和安全之间的平衡。

宏的定义

宏的核心在于自动化，旨在减少用户的重复工作，提高工作效率。通过宏，微软用户可以将一系列任务功能整合成一个单一的命令，自动执行。感谢宏，我们能够将 Excel工作表按字母或数字排序，也能合并或分开工作表中的单元格，甚至将单元格内的数据转化为新格式。这些都是使用宏的日常任务之一，尤其是在金融服务行业，宏的使用更是改变了游戏规则。如果宏能够在
Excel 中自动化 10 到 15 项任务，组织将节省数小时的工作时间。

宏与恶意行为者：完美的搭配

早在多年前，恶意行为者就发现可以在 Office 文档的宏中隐藏恶意代码，从而以较高的成功率触发攻击载荷。微软文档（无论是 Excel、PowerPoint还是 Word）是攻击中最常见的文件类型，它们在组织中被广泛使用。宏病毒已存在数十年，第一款宏病毒 Concept 于 1995 年 7月出现，专门针对微软 Word，随后不久便有针对 Excel 的宏病毒出现。目前，此问题依然存在近 30 年的时间，主要有两个原因：

原因 | 说明
—|—
过于依赖检测方法 | 我们在很大程度上依赖基于检测的原则，导致大部分安全策略的重心在于寻找已知的恶意软件特征或威胁。此类策略常常将责任推给用户，通过钓鱼意识培训来发现恶意行为，然而，未知的高级威胁屡屡被忽视。只有微小修改的恶意代码便可以成为一个零日漏洞，这样的威胁轻易绕过防病毒软件和沙盒技术。
高级社会工程学 | 恶意行为者将包含恶意代码的内容伪装得十分无辜，连安全意识最强的人员也可能上当。攻击者可以伪造发送者的电子邮件地址/服务器，使其看起来来自可信来源，比如同事或合法公司（如 FedEx）。这种社会工程方式更进一步证明了基于检测的原则无法应对今天的威胁。虽然钓鱼意识培训能降低企业的安全风险，但不应成为主要的保护手段。

知识就是力量

基于宏的威胁并不新鲜，但依旧困扰着全球的组织。阻止宏和其他文件传播的威胁看似是整体安全策略中的小组成部分，却可能产生最大的影响。微软 Office拥有数十亿用户，导致攻击面极大，为意图不轨的黑客提供了众多机会。这些攻击并不需要高度复杂的国家级黑客，业余黑客便能频繁利用宏进行攻击。

在防范宏基于的威胁时，利用知识作为最佳武器至关重要。理解宏的真实含义以及恶意行为者如何利用它们，会揭示出安全策略中的薄弱环节，并让我们能够将这些知识转化为行动。以下是安全团队在构建文件安全策略时应提出的问题：

• 组织如何识别和中和未知文件对象？是否涵盖恶意宏？
• 组织如何预防威胁？如何搜索已