近年來經(jīng)過一連串收購，微軟公司已經(jīng)“內(nèi)卷”成為一家網(wǎng)絡(luò)安全巨頭，但是這個(gè)牽動(dòng)千萬家企業(yè)客戶的科技巨頭自身的安全態(tài)勢和安全挑戰(zhàn)卻鮮為人知。

　　漏洞之王

　　在過去的幾年中，與微軟有關(guān)的漏洞和黑客攻擊的負(fù)面消息不絕于耳。顯然，無處不在的微軟產(chǎn)品（及其中的漏洞）對(duì)于黑客來說是極具吸引力的攻擊媒介。根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的一份報(bào)告，自2022年初以來，微軟已報(bào)告了238個(gè)網(wǎng)絡(luò)安全漏洞，占今年迄今為止發(fā)現(xiàn)的所有漏洞的30%。

　　2021年，美國國家安全局（NSA）、FBI、CISA和CIA等主要機(jī)構(gòu)發(fā)布了黑客利用最多的15個(gè)漏洞和暴露（CVE）。其中，60%（9個(gè)）來自微軟設(shè)計(jì)、運(yùn)營和擁有的系統(tǒng)，包括Exchange Server中的7個(gè)CVE。

　　尤其讓美國網(wǎng)絡(luò)安全專家們感到焦慮的是，微軟在美國政府IT系統(tǒng)和辦公采購中占據(jù)主導(dǎo)地位，市場份額高達(dá)85%，這意味著微軟面臨的黑客威脅，也是美國政府的安全挑戰(zhàn)。

　　微軟在2021年底再次成為頭條新聞，微軟警告客戶Azure云平臺(tái)中央數(shù)據(jù)庫Cosmos DB的一個(gè)組件（可視化工具Jupyter Notebook）存在配置錯(cuò)誤，該組件默認(rèn)啟用，導(dǎo)致數(shù)據(jù)暴露長達(dá)兩年。安全公司W(wǎng)iz的一個(gè)研究團(tuán)隊(duì)發(fā)現(xiàn)通過該漏洞能夠獲取數(shù)千家公司的數(shù)據(jù)庫的訪問密鑰。成千上萬依賴Azure Cosmos DB的客戶（包括埃克森美孚和可口可樂等知名企業(yè)）的數(shù)據(jù)庫面臨被未授權(quán)訪問、寫入或刪除的巨大風(fēng)險(xiǎn)。

　　由于微軟產(chǎn)品生態(tài)系統(tǒng)中不斷發(fā)現(xiàn)黑客攻擊和漏洞，其他科技巨頭，如谷歌，已經(jīng)在網(wǎng)絡(luò)安全創(chuàng)新領(lǐng)域超越了微軟。最近，在Cloud Next '22活動(dòng)中，谷歌發(fā)布了一項(xiàng)快速漏洞檢測服務(wù)。該工具是Security Command Center Premium中的一項(xiàng)零配置服務(wù)，可檢測暴露的管理界面、弱憑據(jù)和不完整的軟件安裝等漏洞。

　　作為一家產(chǎn)品和客戶遍布全球的科技巨頭，微軟的網(wǎng)絡(luò)安全實(shí)踐存在哪些短板？微軟未來面臨（帶給我們）什么樣的威脅？

　　脆弱的巨鯊

　　在過去的15年中，微軟在強(qiáng)化Windows內(nèi)核方面取得了進(jìn)展，Windows內(nèi)核是黑客接管設(shè)備的關(guān)鍵所在，微軟對(duì)可在內(nèi)核模式下運(yùn)行的系統(tǒng)驅(qū)動(dòng)程序引入了新的嚴(yán)格限制，這被看作是微軟加固內(nèi)核的關(guān)鍵舉措。

　　2019年2月，軟件公司SolarWinds遭到名為Nobelium的疑似國家黑客組織的軟件供應(yīng)鏈攻擊。該組織獲得了對(duì)數(shù)千名SolarWinds客戶的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問權(quán)限，從而導(dǎo)致了有史以來最大規(guī)模的黑客攻擊，根據(jù)事件的有關(guān)報(bào)道，微軟產(chǎn)品的漏洞大大增加了SolarWinds攻擊的破壞性。

　　前白宮網(wǎng)絡(luò)政策主管安德魯·格洛托表示，此類攻擊的一部分原因在于遺留代碼庫問題。

　　“微軟產(chǎn)品需要付出很多努力才能以正確的方式進(jìn)行配置，并且由于此類配置問題，這些產(chǎn)品很容易受到利用。攻擊者越來越深入地滲透到受害者的網(wǎng)絡(luò)中，并利用了微軟產(chǎn)品中的配置問題”格洛托說道。

　　壞消息接踵而來，2021年3月，一群代號(hào)Hafnium的黑客利用微軟Exchange軟件的弱點(diǎn)，控制了大量企業(yè)服務(wù)器并訪問敏感的公司和政府組織信息。FBI甚至需要“黑入”數(shù)百臺(tái)美國企業(yè)的計(jì)算機(jī)服務(wù)器才最終清除Hafnium惡意軟件。作為補(bǔ)救措施，2021年4月微軟一口氣發(fā)布了114個(gè)關(guān)鍵漏洞的補(bǔ)丁。

　　2022年3月，微軟宣布遭到犯罪黑客組織Lapsus$的入侵，后者入侵了一個(gè)微軟內(nèi)部帳戶，能夠“有限地訪問”公司數(shù)據(jù)。然而，微軟否認(rèn)該犯罪集團(tuán)獲得了任何微軟客戶的數(shù)據(jù)。

　　微軟后來承認(rèn)，Lapsus￥竊取了微軟某些產(chǎn)品相關(guān)的部分源代碼。Lapsus$方面則聲稱已經(jīng)獲得了Bing搜索引擎和Cortana語音助手的源代碼。（但微軟聲稱其安全措施并不依賴其源代碼的保密性）

　　北極狼（Arctic Wolf）首席產(chǎn)品官、前微軟安全主管Dan Schiappa認(rèn)為，微軟的軟件代碼通常新舊混合，這意味著很難確保沒有漏洞：“微軟需要借助整個(gè)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來幫助其龐大的技術(shù)基礎(chǔ)。微軟會(huì)持續(xù)改善安全狀況，但我不相信微軟有辦法顯著降低風(fēng)險(xiǎn)。因此，搭配適當(dāng)?shù)陌踩a(chǎn)品組合或服務(wù)是確保您安全使用微軟產(chǎn)品的最佳方式。”

　　微軟的產(chǎn)品生態(tài)系統(tǒng)瓶頸

　　作為市場上占主導(dǎo)地位的企業(yè)技術(shù)供應(yīng)商，微軟的產(chǎn)品始終是攻擊者的熱門目標(biāo)。例如：

　　威脅情報(bào)公司Cluster25最近報(bào)告稱，俄羅斯GRU（俄羅斯總參謀部主要情報(bào)局）旗下的威脅組織APT28（又名Fancy Bear）早在9月9日就使用新策略部署了Graphite惡意軟件。

　　攻擊者使用PowerPoint（。PPT）文件引誘目標(biāo)，當(dāng)受害者以演示模式打開文檔并將鼠標(biāo)懸停在超鏈接上時(shí)，會(huì)啟動(dòng)惡意PowerShell腳本，從Microsoft OneDrive帳戶下載JPEG文件。該文檔還包括一個(gè)超鏈接，該鏈接通過SyncAppvPublishingServer工具觸發(fā)惡意PowerShell腳本的執(zhí)行，使用受害者計(jì)算機(jī)上的Microsoft Graph API和OneDrive進(jìn)行進(jìn)一步的命令和控制通信。

　　此外，易受攻擊的Microsoft SQL服務(wù)器也成為新一輪FARGO勒索軟件攻擊的目標(biāo)。MS-SQL服務(wù)器是數(shù)據(jù)庫管理系統(tǒng)，用于保存互聯(lián)網(wǎng)服務(wù)和應(yīng)用程序的數(shù)據(jù)，攻擊者對(duì)這些數(shù)據(jù)的泄露和破壞可導(dǎo)致嚴(yán)重的業(yè)務(wù)問題。FARGO與GlobeImposter一樣，是以MS-SQL服務(wù)器為重點(diǎn)的勒索軟件之一。

　　安全專家后來發(fā)現(xiàn)這些漏洞是由于使用了弱憑據(jù)，以及受害者服務(wù)器缺少最新的安全補(bǔ)丁，這與微軟難以配置的早期問題相呼應(yīng)。

　　微軟的Windows10操作系統(tǒng)也在引發(fā)新的焦慮。根據(jù)Lansweeper的研究，在Windows11首次公開發(fā)布一年后，只有2.6%的用戶升級(jí)到了Windows11。由于Microsoft嚴(yán)格的系統(tǒng)要求，42%的PC甚至沒有資格進(jìn)行自動(dòng)升級(jí)。這意味著企業(yè)IT經(jīng)理們難以在2025年之前升級(jí)或更換數(shù)百萬臺(tái)機(jī)器，而屆時(shí)微軟表示將停止支持Windows10。

　　CISO如何降低風(fēng)險(xiǎn)

　　Anomali威脅研究副總裁Steve Benton認(rèn)為，利用已知漏洞只是達(dá)到目的的一種手段，是攻擊鏈的一部分，其中包含多個(gè)必須成功的組件。

　　“嚴(yán)酷的事實(shí)是，我們都應(yīng)該接受這樣一個(gè)想法，即你不應(yīng)該依賴任何產(chǎn)品來保證100%的安全，”Benton說道：“人們必須制定并執(zhí)行一項(xiàng)戰(zhàn)略，將一整套多層安全控制措施落實(shí)到位。該策略應(yīng)該專注于由TTP（策略、技術(shù)和程序）組成的更廣泛的攻擊鏈，這些攻擊鏈由攻擊者驅(qū)動(dòng)，其動(dòng)機(jī)和目標(biāo)通過相關(guān)的、可操作的情報(bào)來理解。”

　　Benton建議采用三重方法：

　　多層縱深防御策略。確保您了解您的攻擊面和關(guān)鍵資產(chǎn)，并部署了一套重疊的多層安全控制。此外，確保這些組件完全部署到目標(biāo)范圍、完全可操作并受到監(jiān)控。

　　減少暴露。為所有這些組件定義策略和標(biāo)準(zhǔn)，防止漏洞暴露（即，不要將自己廉價(jià)地暴露給攻擊者）。

　　威脅情報(bào)能力。分析什么樣的黑客可能會(huì)攻擊你，揣測他們的動(dòng)機(jī)或最終目標(biāo)，以及他們可能會(huì)如何實(shí)施。這種關(guān)鍵情報(bào)能力使企業(yè)保護(hù)業(yè)務(wù)和客戶時(shí)能夠確定資源的優(yōu)先級(jí)，并針對(duì)與企業(yè)相關(guān)的當(dāng)前和新興威脅建立和維護(hù)動(dòng)態(tài)安全態(tài)勢。

　　Alert Logic安全研究和威脅情報(bào)主管Mike Dausin表示：“積極的漏洞和補(bǔ)丁管理策略是企業(yè)安全管理的頭等大事。與此同時(shí)，采集設(shè)備產(chǎn)生的情報(bào)數(shù)據(jù)至關(guān)重要。許多成功的攻擊之所以被忽視，僅僅是因?yàn)閬碜允苡绊懺O(shè)備的日志和信號(hào)未被注意。收集、處理和監(jiān)控這些信號(hào)對(duì)于捕捉現(xiàn)代威脅至關(guān)重要。”

　　微軟的未來會(huì)怎樣

　　Deep Instinct競爭情報(bào)分析師Jerrod Piker表示，微軟軟件解決方案在全球各種規(guī)模的企業(yè)中仍將廣泛使用，未來新漏洞的發(fā)現(xiàn)速度可能比目前更快。最近暴露的微軟漏洞表明，這些漏洞利用的復(fù)雜性和規(guī)模將繼續(xù)增長。

　　Piker認(rèn)為，雖然微軟提供了一套廣泛的安全解決方案，但在保護(hù)自身軟件開發(fā)生命周期本身方面似乎沒有取得重大進(jìn)展。

　　“微軟自身的安全工作相對(duì)被動(dòng)，未能成功地將安全融入軟件開發(fā)流程，這一點(diǎn)沒有根本性的改變之前，我們很可能不會(huì)看到微軟軟件解決方案漏洞的數(shù)量有顯著降低。”Piker說道。

　　在剛剛公布的2022三季度財(cái)報(bào)中，微軟的云服務(wù)給出了亮眼的增長數(shù)據(jù)。但Piker認(rèn)為，只有當(dāng)基本安全功能成為微軟所有價(jià)位的云服務(wù)的標(biāo)配時(shí)，其安全承諾才能完全實(shí)現(xiàn)。

　　“事件記錄和多因素身份驗(yàn)證等基本安全功能應(yīng)該被視為標(biāo)準(zhǔn)的IT功能。不幸的是，微軟的云生態(tài)系統(tǒng)似乎仍然缺少這種底層功能，”Piker指出：“從安全角度來看，這是制約微軟云生態(tài)系統(tǒng)發(fā)揮其全部潛力的一個(gè)因素。”

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<