Source: The Verge
全球最大的科技公司面临安全问题。过去几年发生了一系列备受关注的安全事件,网络安全审查委员会最近发表的一份严厉报告结论称,“微软的安全文化不足,需要全面改革。内部人士担心这些袭击可能严重损害公司信任。消息人士透露,微软的工程团队和安全团队一直在忙于应对俄罗斯政府赞助的黑客发起的新攻击。这个黑客组织被称为Nobelium或午夜暴风雪,去年曾窥探过一些微软高级领导团队成员的邮箱,甚至最近还窃取了源代码。持续的袭击让微软内部许多人感到恐慌,团队一直在努力改进微软的防御工作,试图阻止进一步的入侵,而黑客们则会继续查看窃取的信息,寻找更多漏洞。安全始终是一场猫鼠游戏,但当黑客一直在窥视您的通信时,情况会变得更加困难。但这仅仅是一系列安全漏洞中的最新事件。去年,中国政府黑客利用零日漏洞攻击了微软Exchange服务器,使其能够访问邮箱并在企业服务器上安装恶意软件。去年,中国黑客利用微软云漏洞入侵了美国政府电子邮箱。
这一事件使黑客能够访问22个组织的在线邮箱,影响了500多人,其中包括从事国家安全工作的美国政府雇员。去年美国政府的电子邮件袭击被美国网络安全审查委员会描述为“一系列安全失败”,委员会认为,微软内部的一些决定导致了“一种将企业安全投资和严格风险管理放在次要位置的企业文化。微软仍不确定中国黑客是如何窃取关键信息以伪造令牌并访问高度敏感的电子邮箱的。微软对这些攻击的主要回应是其新的安全未来计划(SFI),这是自2004年公司推出安全开发生命周期(SDL)以来对微软安全工作进行的最大改变。SFI旨在改变微软设计、构建、测试和运营软件和服务的方式。尽管在公开视角上我们对这个新的安全未来计划了解甚少,但幕后微软非常担心失去客户信任。据悉,本月早些时候的内部领导会议上,微软CEO萨蒂亚·纳德拉和总裁布拉德·史密斯都谈到了需要将安全置于一切之上的必要性。微软高层的担忧是,这些安全问题正在侵蚀信任,公司将不得不重新赢得客户的信任。据我了解,微软的工程主管现在将安全置于优先考虑,而不是新功能或更快地推出产品。就在几周前,网络安全审查委员会表示,微软应“将公司的云基础设施和产品套件中的功能开发放在次要位置,直至实施了实质性的安全改进。
据说,AI和安全现在是微软内部的两大焦点,尤其是公司快速推出的AI技术为安全带来了更多潜在问题。随着越来越多的微软客户转向云端并采用AI技术,安全需求正在增加。由于云转型,微软已经建立了价值200亿美刀的安全业务,但这主要是在现有订阅基础上卖安全服务。资深的微软记者玛丽·乔·福利本周早些时候呼吁微软“停止将安全作为高性能产品销售。福利强调,某些安全工具只能作为Microsoft 365订阅的附加功能,一些客户之前无法查看关键日志,本可以帮助他们检测事件。这正是前白宫高级网络政策主管AJ·格罗托所强调的。如果回顾几年前的SolarWinds事件…[微软]基本上是向联邦机构销售日志功能,” 格罗托最近在接受The Register采访时说。结果,政府机构很难确定受到SolarWinds袭击的风险。微软去年增加了日志保存时间从90天到180天以回应关于日志信息的抱怨,但组织仍需要选择更昂贵的Microsoft 365 E5订阅才能获得大多数微软的安全和合规功能。即便微软不得不透露俄罗斯黑客最近窃取了源代码,但公司几天后宣布将开始销售名为“安全副驾驶”的付费AI聊天机器人。
这款生成式AI聊天机器人旨在帮助网络安全专业人员抵御威胁,但企业必须每小时支付4刀才能使用微软的安全专用AI模型。政府也注意到这种附加销售和组织对微软软件的巨大依赖。美国政府严重依赖微软软件,电子邮箱遭到破坏更加突显出了这种关系。在与《连线》通讯的一份声明中,参议员罗恩·怀登(D-OR)表示“美国政府对微软的依赖构成了对美国国家安全的严重威胁。怀登在去年美国政府电子邮箱遭到攻击后一直批评微软的网络安全工作,呼吁进行一场联邦政府调查。微软未来几个月如何应对不断增长的对其安全实践的批评将是一个值得关注的问题。虽然网络安全审查委员会认为微软的安全文化有问题,但微软并不同意。微软的联邦安全业务首席技术官史蒂夫·费尔在接受连线采访时说:“我们非常不同意这种描述,”“尽管我们承认我们做得并不完美,还有很多工作要做。然而,罗田在接受The Register采访时表示,只有在被迫的情况下,微软的行为才会发生改变,“除非这种审查引起微软的客户改变行为,让他们寻找其他替代选择,否则微软改变的动力不会像应该那样强烈。
安全问题是每个科技巨头都面临的挑战,如何在追求新功能的同时保障用户数据安全仍是值得深入思考的问题。" } ```
