微軟承諾在多次遭受黑客攻擊後改進安全產品 - 彭博社
Andrew Martin
微軟仍然是批評者的頻繁目標,他們抱怨其軟件容易出現缺陷,使其成為犯罪分子和國家黑客的頻繁目標。
攝影師:Victor J. Blue/Bloomberg微軟公司,因其在幾起重大黑客攻擊中的角色而備受打擊,表示正在改變提供網絡安全保護的方式,利用人工智能和其他方法加快公司對漏洞的響應速度,更好地保護客户。
在一篇博客文章中,三位微軟高管表示他們“已經深思熟慮了我們應該如何預測和適應日益複雜的網絡威脅。” 結果是承諾在三個工程領域取得進展:“轉變”軟件開發,實施新的身份保護措施和推動更快的漏洞響應,他們寫道。
“最近幾個月,我們在微軟內部得出結論,網絡攻擊的速度、規模和複雜性的增加需要一種新的應對方式,”總裁布拉德·史密斯在一篇單獨的帖子中寫道。“這項新舉措將彙集微軟的每個部分,推進網絡安全保護。”
微軟主要以其面向企業和消費者的軟件產品而聞名,總部位於華盛頓雷德蒙德的公司近年來已成為網絡安全產品的最大提供商,這一業務年收入約200億美元。與此同時,微軟仍然是批評者經常抨擊的對象,他們抱怨其軟件容易出現缺陷,使其成為犯罪分子和國家黑客的頻繁目標。
這些問題在今年早些時候再次出現,黑客使用竊取的消費者簽名密鑰偽造認證令牌,這些令牌用於驗證用户身份。然後他們訪問了用户電子郵件,來自大約25個組織,包括美國政府機構。受害者包括美國商務部長吉娜·蕾蒙多和國務院官員,他們的電子郵件在美國國務卿安東尼·布林肯與中國國家主席習近平會晤之前被訪問。微軟將黑客與中國聯繫在一起。
美國參議員羅恩·懷登於7月27日發表了一封激烈的信函,要求進行調查,隨後不久,一個政府主導的網絡安全諮詢小組對雲計算的風險展開了調查,其中包括對微軟在電子郵件黑客事件中的角色進行審查。
“政府的電子郵件被竊取是因為微軟又犯了一個錯誤,”俄勒岡州的民主黨參議員懷登在他的信中説。“微軟不應該擁有一個單一的萬能鑰匙,當它不可避免地被盜時,可以用來偽造訪問不同客户的私人通信。”
網絡安全公司Tenable Holdings Inc.的首席執行官阿米特·約蘭也批評了微軟,他在LinkedIn上在8月份表示,該公司的“缺乏透明度涉及到漏洞、不負責任的安全實踐以及漏洞,所有這些都使他們的客户面臨風險,而客户對此被蓄意隱瞞。”
微軟的公告稱為“安全未來計劃”,此前聯邦政府已表示,他們希望軟件製造商承擔更多保護其產品安全的責任。例如,網絡安全與基礎設施安全局局長詹·伊斯特利在二月份表示,糟糕的軟件和不安全的實踐正在促成勒索軟件攻擊,她表示一些微軟和Twitter的安全協議的採用,如雙因素認證,令人失望。
閲讀更多:美國網絡安全領導人敦促微軟、Twitter提升用户安全性
此外,週一,美國證券交易委員會對總部位於德克薩斯州的SolarWinds Corp.提起了訴訟,指控該公司在一次軟件被黑客攻擊之前淡化了安全風險,該次網絡攻擊於2020年12月公開,俄羅斯政府支持的黑客在一款熱門SolarWinds軟件產品的更新中植入了惡意軟件,當客户下載時,就會創建一個數字後門。
黑客利用這個後門進一步滲透了大約100家組織,包括美國政府機構,根據證券交易委員會(SEC)的説法。SEC訴訟的教訓是,安全專業人員不應該掩飾他們所看到的問題,而應該更加透明地對待它們,CoinList的首席信息安全官、前Twitter安全負責人Michael Coates告訴彭博新聞。
微軟的史密斯表示,公司致力於構建基於人工智能的網絡安全屏障,以保護全球客户和國家。
“這些人工智能進步之所以如此重要,是因為它們能夠解決世界上最緊迫的網絡安全挑戰之一,”他寫道。“無處不在的設備和持續的互聯網連接創造了一個龐大的數字數據海洋。”
“但是人工智能是一個改變遊戲規則的因素,”他説。
此外,微軟表示將利用基於人工智能的分析和其他措施來審計和保護代碼免受高級威脅,並承諾在密碼攻擊增加、黑客開發出更復雜的方法竊取和使用登錄憑證的時候加強身份保護。作為後一項倡議的一部分,微軟表示將遷移到一個“新的、完全自動化的消費者和企業密鑰管理系統,其架構旨在確保密鑰即使在基礎過程可能被損壞的情況下也保持不可訪問。”
在今年早些時候批評微軟時,伊斯特利表示,微軟需要“重新捕捉”公司聯合創始人比爾·蓋茨在2002年所稱的“值得信賴的計算”理念。當時,微軟正受到計算機蠕蟲的困擾,蓋茨寫了一份備忘錄,要求軟件開發人員優先考慮安全性。“我們可以而且必須做得更好,”他寫道。