一直計劃網絡安全升級的微軟,解決安全漏洞的時間正在變長。
據The Information報道,全球市值最高的IT安全公司Palo Alto Networks的研究人員稱,在6月中旬,微軟修復了其Azure平臺拓展的托管服務中的一個漏洞,該漏洞主要影響Linux服務器,攻擊者利用這種漏洞可以訪問云服務器,該研究人員于1月底向微軟報告了該問題。
有趣的是,微軟的網絡安全產品在2021年全年的營業收入恰好是這家爆出微軟安全漏洞的Palo Alto Networks年平均營收的3倍。
這次漏洞是全球研究人員今年在Microsoft Azure產品中發現的若干安全漏洞之一,此前Azure的安全漏洞大多分布在Azure數據庫PostgreSQL服務器、Azure Automation服務、云數據庫Azure Cosmos DB、開放管理基礎架構(OMI)軟件代理以及Azure App Service中。有的可導致攻擊者完全控制Azure客戶的數據,有的可能讓惡意用戶繞過身份驗證后獲得對客戶數據庫的訪問權限,有的以2組漏洞組成。
在過去18個月中,微軟也經歷了一些重大的在線服務中斷。
6月14日,在“補丁星期二”中,微軟發布了2022年6月份的月度例行安全公告,修復了多款產品存在的56個安全漏洞。受影響的產品包括:Windows 11(28個)、Windows Server 2022(29個)、Windows 10 21H2(29個)等等,覆蓋了。NET and Visual Studio、Microsoft Office and Office Components、Microsoft Edge (Chromium-based)等組件,總計中危漏洞1個、高危漏洞51個、嚴重漏洞3個。
引人關注的是,本次微軟終于發布了對“Follina”的修復,這是Microsoft Windows中一個被黑客積極利用的零時差漏洞。據外媒報道,Follina零時差漏洞最初于4月12日被標記給微軟。然而,一位名叫Crazyman的安全研究人員在推特上表示,微軟最初將該漏洞標記為非“安全相關問題”。
最近幾年來,總有安全專家指責微軟在修復關鍵漏洞上耗時太長,總需要5、6個月的時間,且先后會發布若干補丁,6個月的時間標準換在2017年都讓人難以接受。同樣引發專家不滿的,還有微軟在回應漏洞報告時的透明程度和反應速度。
種種跡象表明,微軟的安全漏洞修復能力在諸多網絡安全考驗面前,顯得有些疲軟。
不過,微軟全渠道事業部CTO徐明強博士告訴界面新聞,雖然實際通過數據看到Windows每年的漏洞總比其他的操作系統多,但這是因為黑客攻擊Windows有很高利潤,因此Windows會被黑客鎖定。微軟在服務大量企業客戶時,希望企業通過使用平臺設備和生產力工具中內置的本地安全功能,以簡化企業應對安全挑戰的方法。
“當前企業的安全防御形成了一個怪圈,幾乎所有的云現在都有一個混合的情況,復雜性不斷提升,使得企業經常被動防御,防御的成本越來越高,人員也很短缺。”在徐明強看來,科技巨頭要避免把安全管理搞復雜,否則會引來黑客更熱情的攻擊性。想方設法提升對于運營環境的可見性和洞察力,簡化安全管理使用復雜度,是更好的安全防御策略。
另一方面,全球云安全初創公司們正在迎來自己的黃金年代。
基于近年微軟的很多安全漏洞是由Wiz的研究人員披露,這家2020年才成立的以色列云安全公司估值去年一度被推高至60億美金,其同行Orca Security和Lacework等云安全初創的估值也在資本市場水漲船高。Orca Security今年亦曾數次向微軟通報安全漏洞。
網絡安全咨詢公司Momentum的2022年網絡安全年鑒顯示,與上一年相比,2021年的全球網絡安全市場總資金增長了138%,涉及1,000多筆交易的風險資本融資從124億美元增加到293億美元。這幾乎相當于2018-2020年宣布的投資總和(303億美元)。
其中,超過1億美元的投資有82項,有超過30家公司宣布獲得獨角獸地位。
今年年初,微軟就曾與谷歌就一筆云安全公司的巨額收購展開爭奪,對象是主業為托管服務解決安全漏洞的Mandiant,在谷歌收購這家公司一月之前,微軟就曾與之討論收購事項,但最終以失敗告終。不過,去年僅一年,微軟就收購了多家不同賽道的頭部安全公司,包括RiskIQ、CloudKnox Security和ReFirm,彰顯出了巨頭對安全領域的重視。徐明強告訴界面新聞,收購CloudKnox對微軟非常重要,這家公司可以幫助微軟提升客戶管理在多云環境當中的權限,在平臺、設備、用戶、服務數量成倍增長時,能保護所有平臺。
徐明強認為,現在企業安全防御的一大痛點是在多云世界中缺乏不斷變化的身份和權限,缺乏可見性和控制力。“微軟如今在安全領域的收入增速很快,現階段會專注于幫助客戶進行全方位、更立體的安全防護。”
去年年底,為迎接網絡安全新挑戰,微軟挖來了前亞馬遜高管貝爾,擔任新成立的安全、合規、身份與管理部門,該部門員工預計將超過1萬人。微軟網絡安全團隊表示,公司將在下一個五年期間繼續加大對網絡安全業務的投入,預計花費在客戶安全保護方面的資金將達到200億美元。