飽受黑客攻擊困擾的微軟著力解決多年來問題2024.04.19
全文共3268字,讀完約需11分鐘

這間公司已啟動二十年來力度最大安全改革,但批評者質疑它完成此項任務的能力。

微軟作為全球最大網絡安全產品銷售商自己的網絡安全就存在問題。

近年來,微軟(Microsoft)遭遇了一系列令其聲名受損的黑客攻擊,暴露了其企業和政府客戶的身份。4月早些時候,美國網絡安全審查委員會發布了一份措辭嚴厲的報告,其中援引了微軟未能阻止與中國政府有關的黑客侵入美國官員電郵的情況。該報告的作者呼籲微軟進行緊急改革。

隨著批評聲音的加劇,微軟承諾進行二十年來力度最大的安全改革。微軟還表示將加快消除雲漏洞,增加黑客竊取憑證的難度,並自動執行員工多重身份驗證。

「安全重啟」屬於重大事項,但批評人士質疑微軟是否有足夠的動力進行深入且持久的變革。因為其客戶高度依賴該公司的軟件,不可能輕易改用其他供應商的產品。與此同時,微軟的網絡安全業務每年的銷售額超過200億美元,是該公司增長最快的收入來源之一。許多反黑客工具都是與微軟的軟件捆綁銷售,促使一些批評者士對微軟反競爭商業行為提出了質疑。

參議員懷登。(攝影:Al Drago/Bloomberg)

美國參議員懷登(Ron Wyden)以微軟「網絡安全管理不善」為由,於4月8日提出立法草案,要求政府為協作軟件制定強制性網絡安全標準。這位俄勒岡州民主黨籍議員說,「公司鎖定、捆綁和其他反競爭做法」導致政府在不安全的軟件上花費了「巨資」。

懷登注意到了網絡審查委員會有關微軟不重視安全問題的斷言,他對彭博新聞社表示:「對於一間受託處理大量敏感政府信息的公司,尤其是一間僅網絡安全業務的收入就高達幾百億美元的公司來說,這種做法是不可接受的。幾十年來,靠政府技術供應商憑良心做事的策略一直沒有取得成功。」

微軟對懷登的立法草案和言論不予置評。在描述總體網絡安全形勢時,微軟說從未像現在這樣具有挑戰性,並稱該公司「在維護世界安全的方面發揮著獨特作用。」

靶心

美國商務部長雷蒙多。(攝影:Al Drago/Bloomberg)

4月早些時候,安全業務主管貝爾(Charlie Bell)在微軟西雅圖區總部接受採訪時,將微軟描述為外國政府效力的黑客發動攻擊的「靶心」。部分原因是微軟在企業生產力和桌面操作系統軟件市場上佔據著主導地位。

最近發生的幾起攻擊事件令人震驚地發生在距離不遠的地方。今年初,一個由俄羅斯政府支持的黑客組織被指入侵了微軟高層人員的電郵賬戶,這促使該公司重新調派了數千名工程師,以幫助緩解入侵並加快安全更新。去年5月,一個與中國政府有關聯的黑客組織被指竊取了微軟的一個訪問工具,並利用它侵入了美國商務部長雷蒙多(Gina Raimondo)、美國駐華大使伯恩斯(Nicholas Burns)等數百人的電郵賬戶,從而引發了網絡安全審查委員會的調查。

「他們很善於隨著時間的推移收集數據,聚集起越來越大的動能,然後想辦法將這種動能轉化為越來越多的成功,」貝爾說:「這很難防範。」

貝爾稱,這種攻擊促使高層決定我們暫且後退一步。

因此,微軟去年11月宣布了「保護未來計劃」(Secure Future Initiative),旨在全公司範圍內進行「安全重啟」,高層稱,這將使微軟能夠更好地應對當前的威脅以及未來可能由人工智能推動的威脅。這項工作由微軟副總裁兼網絡安全顧問總監阿瑟諾(Bret Arsenault)領導,他曾擔任微軟信息安全總監長達14年之久。當被問及微軟為何不盡早解決網絡問題時,他表示,人工智能的出現和當前的黑客攻擊趨勢是進行更全面安全審查的原因之一。

他說:「有些轉折時刻或環境的變化會讓你重新思考如何去做。」他隨後補充說,公司高層在「幹勁十足、全神貫注」地執行該計劃中的承諾,「這與政府呼籲的大部分內容相一致。」

微軟安全業務主管貝爾貝爾。來源:微軟

微軟稱,它將利用人工智能和自動化來增強軟件的安全性,並更多地依靠被認為更安全的編程語言。該公司稱,它將加強安全協議,使黑客更難利用竊取的憑證或訪問工具竊取數據。微軟還誓言將更迅速地應對安全漏洞,包括把紓解雲端問題的速度提高50%。

鑒於微軟的規模及其產品陣容的複雜性,這是一項艱巨任務。該公司在雲端提供 Windows、Office、Exchange電子郵件和其他產品,同時繼續通過自己的服務器向客戶提供這些產品。在後一種情況下,微軟針對所謂的遺留系統中的缺陷提供「補丁」,並依靠客戶安裝這些補丁並維護安全協議。客戶並不總是遵循該做法,終止對Windows XP和Windows 7等舊程序的支持服務曾引起過軒然大波,因為許多程序都嵌入了 ATM、醫院硬件和其他關鍵系統。

「有大批的東西需要清理,」貝爾說,「隨著時間的推移,要清理的東西會越來越多。」

微軟正在加速刪除舊的或未使用的賬戶,以及不再提供軟件更新支持或不符合新安全標準的應用程序。截至目前,該公司已經刪除了170多萬個與老舊或未使用賬戶相關的身份信息,以及73萬個過時或不符合安全標準的應用程序,但尚不清楚有多少身份信息和應用程序符合這一描述。

阿瑟諾說,微軟還在加強多重身份驗證的使用,對公司內部100多萬個賬戶自動執行多重身份驗證,包括用於開發、測試、演示和生產的賬戶。

該公司現在要求經理與創建數字ID的員工或供應商進行視訊通話,並向新員工或供應商發放短期憑證,這些措施都是為了增加攻擊者冒充他人或竊取他們ID的難度。阿瑟諾說,即使是擁有高級管理員權限的用戶,創建新賬戶時也不能再關閉多重身份驗證。

丹尼爾(Michael Daniel)是網絡威脅聯盟(Cyber Threat Alliance)的執行總監,這是一間分享網絡風險情報的非牟利組織,部分資金由微軟的一些競爭對手提供,他應彭博的要求回顧了微軟目前所做的努力。丹尼爾說,如果全面實施,這些措施將提高公司平台(包括雲計算平台)的安全性。但他補充說,安全改革似乎無法完全解決網絡安全審查委員會強調的幾個關鍵問題,包括「不健全」的安全文化。

「可信計算」

比爾蓋茨。(攝影:Jordan Vonderhaar/Bloomberg)

如果微軟目前的困境聽起來似曾相識,那是因為該公司在上世紀初也經歷過類似的危機。當時,蠕蟲病毒正在破壞運行Windows系統的計算機。2002年1月,公司聯合創辦人比爾蓋茨發布了「可信計算」備忘錄,敦促軟件開發人員優先考慮安全問題。

「因此,當我們在增加功能和解決安全問題之間面臨選擇時,我們應當選擇安全,」蓋茨寫道,「我們的產品應該從一開始就強調安全性。」

為修復漏洞,微軟將Windows 新功能的開發暫停了數月,並試圖在軟件工程師當中創建一種更注重安全的文化。

回顧那個時候,阿瑟諾說那是個比較簡單的時期。因為微軟每隔幾年就會發布一個版本的Windows系統,還有可能暫停下來。但現在情況不同了,因為微軟及其競爭對手每天都會在雲端進行多次軟件更新。阿瑟諾說:「完全不是同一間公司了。」

接下來的幾年,微軟又在搜索領域落後於Google,在移動設備領域落後於蘋果(Apple),在雲服務領域落後於亞馬遜(Amazon)。追趕的壓力促使該公司將速度置於安全之上。微軟並非獨例。許多科技公司都熱衷於將矽谷的爆炸式增長變現,信奉一種以Facebook當時很著名的口號「快速行動,打破常規」為代表的精神。

微軟遲來的雲計算轉型始於2010年前後。此舉讓該公司能夠直接修復安全漏洞,而不是要求客戶安裝補丁。但雲服務也帶來了新的安全挑戰,最近受到攻擊的事件就是明證。

鑒於國家支持的黑客精明老練又有資源,或許不可能完全阻止他們。微軟的安全改革將有所幫助,但批評人士認為該公司應再次放慢新產品的發布速度,從而確保增強未來的復原力。上周,網絡安全委員會敦促微軟「在安全性得到實質性改進之前,降低公司雲基礎設施和產品套件功能開發的優先級。」

事實上,微軟正在積極利用自己在生成式人工智能領域的先發優勢。貝爾說,已經有客戶詢問如何保護所有新的人工智能程序。他給出了一個辦法:購買更多的微軟安全軟件。

就連微軟的網絡安全子公司也對人工智能有了濃厚興趣——為專業的安全人員推出了一款助手,可幫助檢測和撃敗黑客攻擊企圖。過去幾周來,微軟的高層在美國各地展示了這款名為「Copilot for Security」的工具。微軟安全業務副總裁雅克卡爾(Vasu Jakkal)表示,客戶對這款人工智能助手的早期反響非常熱烈。

她說:「我從沒見過人們對任何安全工具有過如此興趣。」

—— 譯逸思