Wired最新报道指出:无论从营收、市场份额、还是技术和产品的领导力来看,微软都是当之无愧的网络安全龙头企业,也是美国政府高度依赖的科技企业。与此同时,微软已经成为网络安全行业的“公敌”,同时被看作是美国国家关键基础设施的最大单一故障点。
安全创收“成瘾”
微软因向其客户收取“高级安全服务”(例如更好的威胁监控、防病毒、日志存储和用户访问管理)的额外费用而引发了网络安全行业的声讨。2023年1月,微软声称其安全部门的年收入已超过200亿美元。
“微软已经将网络安全当成了摇钱树,”安全公司SentinelOne的研究副总裁 Juan Andrés Guerrero-Saade评价道。他的同事Alex Stamos最近写道:利字当头的微软已经严重扭曲了其安全产品设计决策。
“微软威胁论”2021年初被引爆,当时美国国会和新上任的拜登政府开始调查俄罗斯黑客的SolarWinds远程访问工具(RAT)攻击活动。
在通过SolarWinds软件入侵政府网络后,俄罗斯特工欺骗了微软的云平台,获得了广泛的访问权限,窃取了大量机密信息。令人震惊的是,如此严重的数据泄露的原因并非黑客的技术有多么高超,而是因为大多数美国政府机构没有付费购买微软的“高级服务”,因而没有必要的网络活动日志来检测入侵。
事件曝光后,议员们对微软向政府收取基本安全功能的额外费用感到愤怒,白宫官员在接下来的两年半时间里私下敦促微软为所有客户提供免费日志数据。微软终于在2023年7同意免费提供该服务(在曝出又一次重大黑客事件八天之后,该事件是由付费获取日志数据的机构发现的)。
当被问及微软的网络安全生意经与“安全为先”的社会责任是否存在冲突时,Faehl说:“我们不同意这种说法。”
此外,微软在安全漏洞的修复上未能迅速和充分地采取行动,也招来众多安全专家的批评。
一位著名的网络政策专家表示,微软并未“调整其安全投资水平和思维模式以适应威胁”。网络安全审查委员会(CSRB)也猛烈抨击微软未能防止公司历史上最严重的黑客事件之一。CSRB在报告指出,微软的“安全文化不足,需要彻底改革”。
最大的单点失败
微软在网络安全领域的主导地位引起广泛担忧,因为微软成了最大的单一故障点。美国政府高度依赖单一科技公司,意味着黑客可以轻松通过攻击一家公司的产品来破坏大量关键基础设施和服务。
一些专家指出,分散的安全投资更安全,没有什么比电子邮件更能证明美国政府对微软高度依赖的风险。一位曾在微软竞争对手工作的美国前网络安全官员预测,一场使微软电子邮件平台瘫痪的攻击将大大降低政府的运营能力。
关于微软“一股独大”的警告可以追溯到20年前,但现在才开始引起政策制定者的更多关注。
“美国政府对微软的依赖对美国国家安全构成严重威胁,”美国参议员罗恩·怀登指出:“表面上是因为微软的疏忽导致美国政府系统多次被外国黑客实施严重攻击,实际上,(问题的本质是)美国政府被困在了微软的产品中。”
上周一,怀登宣布了一项草案立法,将为联邦政府设定四年期限,停止购买微软Office等办公协作技术,批评者称这些技术无法很好地与第三方竞争服务集成。
专家表示,减少政府对单一供应商的依赖不仅会使政府受益,还能把攻击风险分散到更多公司身上,减轻微软保护如此庞大系统组合的压力。微软自身的巨大目标使其成为网络犯罪分子和政府黑客的热门目标,这也是它漏洞频发的部分原因。
政府不敢批评的企业
Wired指出,微软并不仅仅依靠其市场主导地位来抵制政府监管。自上世纪90年代与政府的反垄断斗争以来,微软制定了复杂的公共政策战略,既包括真诚呼吁保护网络空间,又无处不在地参与政策制定和立法。
“在这些问题上,微软是科技行业中最老练的一家公司,” 安德鲁·格罗托(Andrew Grotto)说,他曾是白宫高级网络官员,现在领导着斯坦福大学地缘政治、技术和治理项目,并为微软的一些竞争对手提供咨询。“他们25年前就吸取了这个教训,并一直将其付诸实践。”
微软的威胁情报团队几乎比任何其他公司和大多数政府都更了解恶意网络活动,他们定期发布有关网络威胁的研究,并与执法部门合作开展捣毁黑客基础设施的行动。微软还帮助资助像网络和平研究所 (CyberPeace Institute) 这样的组织,倡导更安全的互联网,并帮助非政府组织抵御黑客攻击。微软还将自己定位为政策制定者的战略合作伙伴,向迫切希望解决网络安全问题但不知道从何入手的政策制定者提供建议,有时还会向立法者提供立法草案参考文本。
专家们表示,凭借其市场主导地位和政治敏锐度,微软确保政府官员几乎从未公开批评它。
“由于美国政府完全依赖微软,因此对微软的批评往往欲言又止。” 民主防务基金会网络和技术创新中心的高级主任马克·蒙哥马利(Mark Montgomery)说道。
甚至在外国黑客闯入没有支付微软高级安全功能费用的美国政府机构的电子邮件系统之后,白宫国家安全委员会和美国网络安全和基础设施安全局(CISA)都拒绝批评微软。CISA的一位高级官员承认,微软的商业模式 “没有产生我们寻求的那种安全结果”,但他拒绝直接责备微软,而是坚持谈论与该公司富有成效的对话。
结论:政府应该避免被一股独大的企业“锁定”
微软的安全问题凸显了政府对单一科技供应商过度依赖产生的系统性风险。尽管微软一再承诺改进其安全措施,但它似乎不愿意进行伤筋动骨的根本性改变。这使得美国政府和其他依赖微软产品的组织容易受到攻击。
破解技术供应商“锁定”风险需要采取多种措施。政府应该减少对微软的依赖,转向更分散的采购方法。微软也需要对其安全文化进行重大改革,并投资于更强大的安全措施。