Microsoft 的困境
降低必备工具引发的风险
如果没有 Microsoft,个人计算机和互联网就不会有如今的面貌。近五十年来,Microsoft 一直推动着计算技术的发展,同时也为使用其产品的个人和企业赋能。从学生到游戏玩家,从小型企业到跨国公司,从非营利组织到政府机构,Microsoft 的不同用户群体都已经依赖其产品和服务来提高生产力,进行沟通、协作、娱乐,以及推动业务转换。
通过推动实现所有这些变革,Microsoft 已成为全球市值第二大的公司。但遗憾的是,这种成功也使 Microsoft 及其产品成为网络攻击的一大目标。
正如我们最近在年度网络钓鱼趋势报告中所述,攻击者会冒充数百个不同的企业,但他们主要假冒成我们信任且赖以实现目标的实体。Microsoft 凭借其产品以及所有用户的信任,成为全球被假冒次数最多的品牌。
虽然 Microsoft 是主要的攻击目标,但同时它也是抵御攻击的防御者,不仅提供软件应用和操作系统,还提供网络安全工具。事实上,30% 的 Microsoft 365 收入来自网络安全服务。
问题在于,Microsoft 工具本身可能不足以有效抵御网络威胁。。
那么,Microsoft 在网络安全领域有怎样的影响力呢?与我交谈的许多安全专业人士都提出了一些具有挑战性的问题,例如:“Microsoft 是否成了让网络犯罪分子入侵和攻击我们网络的特洛伊木马?或者它本身就是特洛伊城,一个看似戒备森严的环境却依然让攻击者得逞?”以及“许多企业因财务负担而严重依赖 Microsoft 技术,如何追究其安全漏洞的责任呢?”
毫无疑问,Microsoft 环境经常遭受攻击,而且这些攻击可能会造成严重的后果。今年 7 月,中国黑客成功入侵了美国政府机构基于 Microsoft 的电子邮件系统,可能包括美国驻华大使馆办公室。这次事件引发了严重的失望和担忧,而且,这样的情况已经不是第一次发生。
今年 8 月,Microsoft 发布了软件更新,以修复 Windows 操作系统及相关产品中的 70 多个安全漏洞,包括目�前正在被利用的多个零日漏洞。编写过代码的人都知道,软件之所以容易遭受攻击,是因为它由人类开发。但如此大量的“周二补丁日”更新引发了一个问题:鉴于大规模采用 Windows 和其他 Microsoft 产品以及由此产生的固有漏洞,是否应该采取更多措施来保护这些产品?
你可能还想知道:能否通过采用更多 Microsoft 产品来有效解决这些产品中的漏洞?如果网络行为者攻击 Microsoft 产品得逞,我们又怎么能相信这家公司提供的补丁和更新能够防范未来的入侵呢?
重新思考 Microsoft 安全策略
对于大多数企业来说,日常工作中过于依赖 Microsoft 软件导致无法放弃使用它们。例如,人们不会仅仅因为发现 Microsoft 产品无法完全解决所有漏洞,就停止使用 Microsoft Word、Excel、PowerPoint、Exchange 或 SharePoint。
话虽如此,大多数人依然需要运用更好的方法来保护基于 Microsoft 的工具和环境免受攻击,因为攻击活动根本不会停止。
增强安全保护的第一步,是停止主要或完全依赖 Microsoft 产品来保障安全。Microsoft 已经发布了一个责任共担模型,该模型根据技术栈部署类型,概述了 Microsoft 与其客户各自的职责范围。作为安全专业人士,我们深知分层方法在消除安全漏洞方面的重要作用。但 Microsoft 面临的安全�问题表明,分层方法不仅应涉及多种工具,还应涵盖多个供应商。当然,关键在于找到合适的供应商组合,同时不增加管理复杂性。
在考虑供应商时,我们需要找到可以追究其责任的公司。也就是说,具备影响产品路线图的能力,或者找到替代方案,它成本不高、提供额外功能且与现有解决方案不重叠。Microsoft 是一家提供多种必备产品的大型公司。当安全补丁或工具无法阻止攻击时,很难追究 Microsoft 的责任。我们不能威胁要删除并停止使用 Excel 工具,以此作为对其安全响应不足的筹码;但是,我们可以选择替代供应商来分散风险,利用不同供应商的优势来潜在地改善安全结果。
合适的供应商很可能是网络安全方面的专家,这些公司致力于解决客户的安全问题,而且更平易近人,也更负责任。我们可以与供应商工程师合作,找到解决方法来应对不断演变的威胁,必要时要求公司领导层予以关注,以及在各种其他方法不起作用的情况下更换产品,但不会失去必备的生产力工具。
只要数百万个人和企业仍然依赖于 Microsoft 应用和操作系统,这些产品就将继续成为网络攻击的主要目标。为了更好地抵御攻击,企业需要改变对 Microsoft 的依赖,并与专门的安全公司合作来解决采用 Microsoft 产品带来的困境:能否从必备的 Microsoft 产品中受益,同时不让自己成为攻击目标?
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
Microsoft 和 Microsoft 365 为 Microsoft 集团公司的商标。
作者
Oren J. Falkowitz — @orenfalkowitz
Cloudflare 安全官
关键要点
阅读本文后,您将能够了解:
为什么 Microsoft 工具成为网络攻击的主要目标
为什么仅依赖于分层的 Microsoft 工具是不足的
如何与可以追究其责任的供应商合作,加强安全保护