Microsoft需要赢回信任
这家全球最大的科技公司存在安全问题。在过去的几年里,一系列备受瞩目的安全事件震撼了Microsoft,网络安全审查委员会最近发布的一份严厉报告得出结论,“Microsoft的安全文化不足,需要彻底改革。在Microsoft内部,人们担心这些攻击可能会严重破坏对公司的信任。
消息人士告诉我,Microsoft的工程和安全团队一直在争先恐后地应对来自SolarWinds事件背后的俄罗斯国家支持的黑客的新攻击。这个被称为Nobelium或Midnight Blizzard的黑客组织去年能够监视Microsoft高级领导团队的一些成员的电子邮件帐户,甚至最近窃取了源代码。
持续的攻击吓坏了Microsoft内部的许多人,团队一直在努力改善Microsoft的防御,并试图防止进一步的违规行为,而黑客则仔细研究他们窃取的信息并试图找到更多的弱点。安全始终是一场猫捉老鼠的游戏,但当黑客一直在监视您的通信时,它变得更加困难。
不过,这些只是一系列安全漏洞中的最新一次。中国政府黑客在 2021 年初对 Microsoft Exchange 服务器进行了零日漏洞攻击,使他们能够访问电子邮件帐户并在企业托管的服务器上安装恶意软件。去年,由于Microsoft云漏洞,中国黑客入侵了美国政府的电子邮件。该事件允许黑客访问22个组织的在线电子邮件收件箱,影响了500多人,包括从事国家安全工作的美国政府雇员。
美国网络安全审查委员会(US Cyber Safety Review Board)将去年的美国政府电子邮件攻击描述为“一连串的安全故障”,该委员会表示,去年的电子邮件攻击是“可以预防的”。它还发现,Microsoft内部的一些决策促成了“一种降低企业安全投资和严格风险管理优先级的企业文化”。Microsoft仍然不能100%确定密钥是如何被盗的,以使中国黑客能够伪造令牌并访问高度敏感的电子邮件收件箱。
Microsoft对这些攻击的主要回应是其新的安全未来计划(SFI),该倡议对其设计、构建、测试和运营其软件和服务的方式进行了全面改革。SFI 于 11 月公布,在俄罗斯电子邮件间谍活动被揭露之前,应该是 Microsoft 自 2004 年推出安全开发生命周期 (SDL) 以来安全工作的最大变化。SDL 本身就是对 2003 年导致 Windows XP 机器崩溃的毁灭性 Blaster 蠕虫的回应,并动摇了公司对安全性的更大关注。
在公开场合,我们从这个新的“安全未来计划”中看到的很少,但在幕后,Microsoft非常担心失去客户的信任。据消息人士透露,在本月早些时候的一次内部领导会议上,Microsoft首席执行官萨蒂亚·纳德拉(Satya Nadella)和总裁布拉德·史密斯(Brad Smith)都谈到了将安全放在首位的必要性。Microsoft最高层担心的是,这些安全问题正在侵蚀信任,因此它必须赢回客户的信任。
据我所知,Microsoft 的工程主管现在将安全性置于新功能之上,或者更快地交付产品。就在几周前,网络安全审查委员会表示,Microsoft应该“在进行实质性的安全改进之前,降低公司云基础设施和产品套件的功能开发优先级”。
我被告知,人工智能和安全现在是Microsoft内部的两大焦点,特别是随着该公司人工智能技术的快速推出,带来了更多潜在的安全问题。随着越来越多的 Microsoft 客户迁移到云并采用 AI,对安全性的需求也在增加。由于这种云转移,Microsoft 已经建立了价值 200 亿美元的安全业务,但它主要基于在现有订阅之上追加销售安全性。
《Microsoft》资深记者玛丽·乔·弗利(Mary Jo Foley)本周早些时候呼吁Microsoft“停止将证券作为高级产品出售”。Foley 强调了某些安全工具仅作为 Microsoft 365 订阅之上的加载项提供,并且一些客户以前无法看到可能允许他们检测事件的关键日志记录信息。
前白宫高级网络政策主任A.J. Grotto也表达了同样的观点。“如果你回到几年前的 SolarWinds 剧集......[Microsoft]本质上是向联邦机构追加销售伐木能力,“Grotto最近在接受The Register采访时说。“因此,各机构真的很难确定他们对 SolarWinds 漏洞的风险敞口。”
微软去年通过将日志的可用时间从90天增加到180天来回应有关日志记录信息的投诉,但如果组织想要Microsoft的大部分安全性和合规性功能,他们仍然需要选择更昂贵的Microsoft 365 E5订阅。
尽管Microsoft不得不透露俄罗斯黑客最近窃取了源代码,但几天后,该公司宣布将开始以现收现付定价的方式销售其 Copilot for Security。生成式 AI 聊天机器人专为网络安全专业人员设计,以帮助他们防范威胁,但如果企业想使用 Microsoft 的安全特定 AI 模型,则必须每小时支付 4 美元。
这种追加销售和组织对Microsoft软件的广泛依赖也没有被立法者忽视。美国政府严重依赖Microsoft的软件,而电子邮件泄露事件使人们更加关注这种关系。“美国政府对Microsoft的依赖对美国国家安全构成严重威胁,”参议员罗恩·怀登(D-OR)在给《连线》的一份声明中说。怀登多年来一直在批评Microsoft的网络安全工作,呼吁联邦政府在去年美国政府电子邮件泄露事件后进行调查。
未来几个月,Microsoft如何应对对其安全实践日益增长的批评将很有说服力。虽然网络安全审查委员会认为Microsoft的安全文化被破坏了,但Microsoft不同意。“我们非常不同意这种说法,”Microsoft联邦安全业务首席技术官史蒂夫·法尔(Steve Faehl)在给《连线》的一份声明中说。“尽管我们确实同意我们并不完美,并且还有工作要做。
不过,Microsoft的行为只有在被迫的情况下才会改变,Grotto在The Register采访中辩称。“除非这种审查在可能想要寻找其他地方的客户中产生改变的行为,否则Microsoft改变的动机不会像他们应该的那样强大。