前美國政府網絡安全高官撰文,指責微軟公司在一邊制造網絡安全問題,一邊設法解決這些問題,并從解決的過程中獲利;
即使像美國聯邦政府這樣的巨無霸甲方,面對壟斷地位的乙方,也只能被“鎖定”。面對這一形勢,該如何破局呢?
本文作者Andrew J. Grotto,曾擔任美國國家安全委員會前網絡安全政策高級主管,《安全內參》社區全文編譯如下。
今年2月,微軟公司發布一項名為“現代日志管理計劃”(Modern Log Management Program)的網絡安全服務。該服務主要面向聯邦政府客戶,可提供一套微軟公司開發的可視化工具和修復工具,幫助客戶從不同的微軟產品中抽取診斷數據,以便更深入地了解自己網絡上正在發生的事件。
微軟公司聲稱,“現代日志管理計劃”旨在幫助美國聯邦行政部門,達到管理與預算辦公室(OMB)2021年8月在M-21-31備忘錄中制定的網絡安全事件日志記錄要求。微軟承諾以折扣價格向客戶推廣“現代日志管理計劃”,聯邦行政部門因而能夠“緩解M-21-31備忘錄要求增加日志源及日志存儲帶來的預算壓力”。
從表面上看,微軟以折扣價格提供新的網絡安全服務無異于是在做義務勞動。但仔細斟酌M-21-31備忘錄出臺的背景,以及微軟公司在聯邦信息技術領域獨一無二的地位就可以看出,這家公司實際上是在一邊制造網絡安全問題,一邊設法解決這些問題,并從解決的過程中獲利。
日爆事件催生網絡安全要求
管理與預算辦公室注意到,“包括SolarWinds網絡攻擊在內的多起網絡安全事件越來越凸顯出,政府可見性在事件發生前、事中和事后的重要性。”因而在M-21-31備忘錄中制定了相關要求。
SolarWinds事件是2020年12月曝光的。當時,美國網絡安全公司火眼(FireEye)宣布發現一起俄羅斯網絡間諜活動,并將其稱為“SolarWinds”攻擊事件。事實上,SolarWinds是一家軟件廠商的名字,Orion網絡監控軟件是其代表產品。
有俄羅斯政府背景的黑客于2019年某個時候侵入了該公司的軟件研發系統,并在某個軟件更新包中植入惡意代碼——此類網絡攻擊被稱為“供應鏈攻擊”。SolarWinds的客戶只要安裝更新,隱藏其中的惡意代碼就會給俄羅斯黑客建立一個“橋頭堡”,使其能夠更深地入侵SolarWinds客戶的網絡并竊取其中的秘密。
SolarWinds攻擊事件還有兩個不太知名的名字,即“諾事件”(Nobelium)和“日爆事件”(SUNBURST,下文將以此代稱SolarWinds攻擊事件)。這起被認定為“供應鏈攻擊”的網絡安全事件要求攻擊者擁有周密的策劃和極大的耐心,其受害者范圍很廣,既包括美國聯邦機構、州和地方政府部門,也涉及大學以及大批世界500強公司(如思科、英特爾和微軟),所以被大部分網絡安全專家列為至今為止最嚴重的網絡安全事件之一。
“日爆事件”應該為俄羅斯政府帶來了大量寶貴情報,但其操控者并未因此停下為其升級的腳步:他們仍在不斷地運用自己的技巧,以期躲過監測并執行更進一步的攻擊。
同樣角色,不同命運
SolarWinds vs 微軟
如果說SolarWinds被大多數人認為是攻擊者入侵的主要入口的話,微軟則是引導攻擊者進入日爆事件眾多受害者網絡的“敲門磚”。攻擊者侵入安裝有Orion軟件的網絡后,通常會利用微軟云產品或微軟365產品中存在的漏洞侵入更多的IT系統(比如受害者的云賬戶),并對入侵痕跡進行隱藏。
日爆事件中,有三分之一的受害者并未使用Orion軟件,但仍被攻擊者以不同手段入侵。侵入后的攻擊者同樣會利用微軟365產品中存在的漏洞執行更深層次的入侵,并在受害者網絡系統中進行橫向移動。
大西洋理事會研究人員對日爆事件進行全面分析后認為,“正是上述幫助攻擊者侵入目標系統云服務的橫向移動,以及對微軟公司身份認證服務的不法使用,使得(日爆事件)已不僅僅是一起大規模軟件供應鏈攻擊,而且成為俄羅斯操縱的成功的大范圍網絡情報活動。”
日爆事件過去一年后,SolarWinds和微軟兩家公司走上了截然不同的命運之路。
事件中大約70%的受害者由于使用SolarWinds公司的Orion軟件而引狼入室,該公司因此付出了沉重代價,不僅內部網絡安全措施倍受責難,整體經營活動也磨難重重。
受日爆事件影響,SolarWinds公司的業績用一落千丈來形容毫不為過——其業務流水賬減少4000萬美元,投資者至今仍被告知,日爆事件“將對2021年及之后的營收、利潤和現金流產生負面影響”。盡管實施了兩股換一股的反向股票分割并向股東派發了特別股息,但公司股票自去年此時起暴跌40%的局面仍無法挽回。SolarWinds的競爭對手趁機搶占市場份額,宣稱自己的產品安全且易上手(替代SolarWinds公司的產品)。“客戶可以在不耽誤時間、不花費額外資金而且沒有操作經驗的情況下,很容易地使用我們的產品,”其中一家競爭公司在廣告中為自己的產品吹噓稱。
相反,微軟公司卻在日爆事件中逆勢而起。今年以來其股票價格大漲40%,與SolarWinds公司形成了鮮明對比。公司營收也創造了自2018年以來的最快增速,同比增長22%。
微軟產品“帶病”上場,
愈發嚴重
盡管2021年的微軟公司在經營收入方面所獲頗豐,但在網絡安全方面卻遭遇了諸多麻煩。
首先是微軟Exchange Servers中零日漏洞的曝光。2021年3月,網絡安全博主Brian Krebs指出,Exchange Server存在多個零日漏洞,可能被別有用心者通過遠程控制實施大規模網絡攻擊。微軟公司公開宣布上述漏洞前后,受害者數量就超過了6萬。一周后,微軟公司針對Windows系統發布更新,對82個安全問題進行修補,其中10個被公司標記為“高危”(包括一個涉及IE瀏覽器的嚴重安全漏洞)。
2021年6月,微軟公司針對另外6個已被攻擊者發現并利用的零日漏洞發布更新補丁。7月,針對PrintNightmare漏洞發布緊急更新。該漏洞存在于Windows Print Spooler服務中,可被攻擊者利用來獲取系統的完整控制。微軟的霉運仍在持續。8月,一組研究人員宣布在Microsoft Exchange使用的Autodiscover協議中發現設計缺陷,可被攻擊者用來采集Windows域賬號憑據。另一組研究人員則發現了一個更嚴重的漏洞——可用來“完全無限制地登陸數千家Microsoft Azure客戶的賬戶及數據庫”。
9月的日子更艱難。微軟公司先是宣布發現一個能夠影響MSHTML(IE和Microsoft Office的軟件組成)的遠程代碼執行漏洞。緊接著又發布了三個針對零日漏洞的補丁程序。這三個漏洞均被標記為“高危”,攻擊者可通過它們對系統實施入侵。9月末,研究人員發現了日爆事件操盤手在系統中植入的惡意軟件,這款被稱為FoggyWeb的惡意軟件,可用來竊取用戶的配置數據庫以及安全令牌證書。
2021年10月,微軟公司聲稱已告知140多家微軟產品的第三方零售商和服務提供商,日爆事件的操盤手已經把他們列為目標。實際上,截至2021年10月,已發現其中14家遭到入侵。
不得不承認,2021年對整個網絡安全界來說都是困難的一年。研究顯示,該年度的數據泄露事件數量一路走高,到9月時已超過2020年的全年水平。勒索軟件攻擊事件也是如此。2021年發現的零日漏洞數量也創下新高,僅在“在野”攻擊發生后發現的就有58個,比2020年全年發現的數量翻了一番。其中在微軟產品中發現的多達21個(最多)。蘋果、谷歌和其他公司的產品中也有發現。
相比SolarWinds,
微軟的客戶地位更強勢
實際上,SolarWinds公司的客戶中有很大一部分愿意再給該公司一次機會——數據顯示,SolarWinds公司的客戶并非全部都轉而使用了競爭對手的類似服務。2021年2月,公司首席執行官Sudhakar Ramakrishna對投資人表示,“我走訪的很大一部分客戶很清楚,針對我們以及其他公司的網絡安全事件會發生在任何公司身上,特別是像SolarWinds這樣布局廣泛的大型公司更容易受到攻擊。”
確實,SolarWinds的客戶有兩個可選項:原諒及放棄。數字產品不會決定世界的存亡,即使明天消失,這個世界也會正常運行。比如,Facebook公司及其多個應用程序曾遭遇宕機危機,致使30多億民眾喪失了聯絡手段。危機雖然給很多人造成不便,但那絕不是世界末日——還有很多其他完好無損的通訊手段可以選擇。
同理,SolarWinds的客戶可以在日爆事件后選擇先關閉Orion軟件,然后或者徹底終止其使用(2020年12月后確實有部分客戶這么做),或者在安裝了安全補丁之后恢復使用(包括聯邦政府機構在內的其他客戶的選擇)。不過,如果SolarWinds再遭受一次網絡安全事件,恐怕就不會那么容易得到客戶的諒解了。
相比之下,微軟公司則在客戶面前處于一個比較強勢的地位。只要后者的IT設施以微軟產品為基礎搭建起來,再想轉而使用其他公司的產品就會非常困難。即使最終轉換成功,也會存在崩潰的潛在可能,或付出巨大的努力和代價。
如果客戶更換產品的可能性很小(因轉換成本太高或沒有實際可用的替代產品造成),軟件商就會把更多風險轉移到他們身上。換句話說,客戶在某種程度上被“鎖定”了。
“客戶鎖定”
讓微軟不再擔心市場競爭
毫無疑問的是,微軟公司網絡安全人員2021年度的工作異常勤奮——人們不應該質疑他們為保護客戶免受惡意軟件攻擊而做出的努力。因此在2021年8月,公司與其他科技巨頭一起參加白宮峰會時,有信心宣布將對聯邦政府的網絡安全提供更多支持。
微軟的決定是受歡迎的。但系統網絡安全協會(SANS Institute)新興安全趨勢主管John Pescatore卻對此不以為然。他認為,微軟公司的網絡安全承諾“有點像特斯拉公司組建了一個數字犯罪應對小組,專門抓捕利用特斯拉車門無法鎖閉而偷車的竊賊”。另外,更換軟件提供商也可以用換車來比喻。如果換車成本太高,放棄特斯拉轉而購買其他公司的車輛就不那么現實了。一些客戶可能就會另無選擇地接受車輛可能被偷盜的風險。所以,“客戶鎖定”是“勝者全拿”網絡效應的陰暗面。這種陰暗面在軟件市場上確實存在,對網絡安全是不利的。
“勝者全拿”效應最直觀的體現是這樣的,即客戶越多,某個軟件產品的價值就越高。以協作平臺為例。對單一用戶來說這個平臺并沒有多大用處。但隨著用戶的增多,平臺的價值就會水漲船高,反過來吸引來更多用戶。這一理論通常會讓軟件公司感受到壓力。后者因此會設法迅速搶占市場份額,希望能夠觸發上述網絡效應以便幫助自己形成對市場的主導。
軟件行業內有一句俏皮話來調侃這種急功近利的做法,即“周一發布,周二給補丁”。也就是說,一款高性能軟件即使存在安全隱患,也會被公司立即推出以搶占或保護市場份額,而不是推遲發布,等待安全性得到進一步完善后才發布。到那時,用戶是不會因為安全性高而對它另眼相看的。
“勝者全拿”效應讓用戶轉而使用其他軟件提供商的產品變得非常困難。比如,如果某用戶選擇產品的部分原因是其他用戶也在使用它,那么轉而使用其他軟件提供商產品的決定可能一舉成功,也可能一敗涂地——取決于其他用戶是否也會冒險轉用同款其他軟件。
另外,轉用其他軟件提供商產品的成本和風險是巨大的。其成本不僅包括新軟件的購買費用,還有更換軟件耗費的工作時間、用戶在適應新軟件過程中導致的工作效率降低以及用戶和技術支持人員的培訓等。風險也是顯而易見的,包括但不限于更換軟件對某些持不同意見者工作熱情形成的打擊,以及轉換未按計劃順利完成對業務活動構成的擾亂,等等。
打折或免費安全服務
更像釣魚
再來看一下聯邦政府機構。微軟公司的Windows操作系統在聯邦政府機構內的應用非常普及,Office辦公軟件在政府機構內所占份額更是高達85%。
換句話說,微軟公司已經在某種程度上“鎖定”了政府客戶——如果IT部門圍繞某件產品搭建本機構的業務處理系統(正如聯邦政府機構大范圍使用Windows操作系統和Office 辦公軟件那樣),那么對這個系統進行更換就成為一件得不償失的事情。即使看出了風險苗頭,慣性也會讓人們安于現狀,讓改變難上加難。
在過去的一年中,微軟公司的某些做法引起了用戶的不滿。比如,該公司曾準備就Microsoft 365 產品的基礎安全服務(例如事件記錄)向聯邦政府機構收取費用。很顯然,公司做這個決定的時候并沒有把面臨的競爭壓力看在眼里(很大一部分原因是“客戶鎖定”讓他們不擔心客戶流失)。但后來因為議員們抱怨服務價格太高,而且微軟公司向用戶收取費用來保護本公司產品安全有點不太像話,所以微軟最終決定向聯邦政府客戶提供一年的免費使用期。
有報道稱,該公司最近又做了一件讓人吐槽的事情,即告知其商業伙伴,如果不把按月訂購的服務改成按年訂購的話,公司就將在2022年把他們使用的Office產品價格提高20%。CNBC記者Jordan Novet認為,微軟公司的做法是典型的“運用其在辦公軟件市場上的主導地位,強迫部分Office用戶在付出更多費用與增加訂購時長之間做選擇”。此前,微軟已宣布大幅提高Microsoft 365產品的價格。
事實上,價格并非微軟公司與其用戶討價還價的唯一砝碼,他們還可以在產品性能上做做文章——從默認的基礎配置到高級別的優化配置,應有盡有。但享受什么樣的服務(包括安全服務)就要付出什么樣的價格。簡單地說,微軟這樣的軟件提供商會建立一種價格促銷機制。價格越低,享受的安全服務就越少;反之則越多。這是一種變相提高價格的手段。建立在上述機制基礎上的微軟安全服務業務價值高達150億美元。日爆事件后,微軟公司曾試圖在聯邦政府機構用戶身上應用這套機制。
建立安全服務的提供標準可以在一定程度上解決軟件公司的“貪婪”問題。也就是說,公司應該按照標準向用戶提供某種安全服務,否則會觸發用戶或制度的強烈抵制。但這里同樣有一個無法解決的困境,那就是聯邦政府機構或者其他部門用戶早已被微軟公司“鎖定”,除了使用該公司提供的安全服務幾乎別無選擇。
微軟公司對很用戶的“鎖定”讓自己在談判中擁有優勢,用戶不太可能強烈要求公司提供更多安全服務。從這個角度說,微軟公司向政府免費提供一年安全服務的決定更像一個魚餌——一旦政府機構接受就再也無法回頭,即使微軟開始對其服務收取費用。
