微軟受到黑客攻擊，努力應對多年來形成的問題 - 彭博社

攝影師：Jeenah Moon/Getty Images攝影師：David Paul Morris/Bloomberg全球最大的網絡安全產品銷售商在自身網絡安全方面存在問題。

近年來，微軟公司遭遇了一系列令人尷尬的黑客攻擊，暴露了企業和政府客户的信息。就在本月初，美國網絡安全審查委員會發布了一份尖鋭的報告，記錄了該公司未能阻止與中國政府有關的黑客盜取美國官員郵箱的情況。報告的作者呼籲微軟進行緊急改革。

在日益增加的批評聲中，該公司承諾進行二十年來最雄心勃勃的安全改革。微軟表示，將加快解決雲漏洞的速度，使黑客更難竊取憑證，並自動為員工強制實施多因素身份驗證。

這次安全重啓是一項重大承諾，但批評者質疑微軟是否有足夠的動力進行深遠和持久的改變。由於客户對該公司的軟件依賴性很強，他們無法輕易切換到其他供應商。與此同時，微軟的網絡安全業務每年產生超過200億美元的銷售額，並且是公司增長最快的收入來源之一。許多反黑客工具與微軟的軟件捆綁銷售，這使得一些批評者指責該公司存在反競爭的商業行為。

參議員羅恩·懷登攝影師：阿爾·德拉戈/彭博社引用微軟“混亂的網絡安全”，美國參議員羅恩·懷登於4月8日提出了一項草案，要求政府為協作軟件設定強制性的網絡安全標準。這位俄勒岡州的民主黨人表示，“供應商鎖定、捆綁和其他反競爭行為”導致政府在不安全的軟件上花費“鉅額資金”。懷登指出網絡審查委員會聲稱微軟並未專注於安全，他對彭博社表示：“對於一家被託付如此多敏感政府信息的公司，尤其是僅在網絡安全收入方面就產生數百億美元的公司，這是不可接受的。依賴政府技術供應商出於良心做正確的事情，幾十年來一直是一種失敗的策略。”

微軟拒絕對懷登的草案或言論發表評論。該公司描述了一個從未如此具有挑戰性的網絡安全環境，並表示它在“保護世界安全”方面有着“獨特的角色”。

‘零點’

在本月早些時候於微軟西雅圖總部的採訪中，安全主管查理·貝爾將公司描述為“為外國政府工作的黑客的零點”。部分原因是微軟在企業生產力和桌面操作系統軟件市場中佔據主導地位。

美國商務部長吉娜·雷蒙多攝影師：阿爾·德拉戈/彭博社最近的攻擊令人震驚地接近我們的生活。年初，一個俄羅斯國家支持的團體 被指責在審查微軟高管的電子郵件賬户——促使公司重新分配數千名工程師以幫助緩解入侵併加快安全更新。今年五月，與中國政府有關的黑客團伙被指控盜取了微軟的一種訪問工具，並利用該工具入侵了美國商務部長吉娜·雷蒙多、美國駐中國大使尼古拉斯·伯恩斯及數百個其他賬户的電子郵件，促使網絡審查委員會展開調查。

“他們在長期收集數據方面非常出色，積累越來越多的勢頭，然後找出如何將其轉化為更多的成功，”貝爾説。“這很難防禦。”

根據貝爾的説法，這場攻擊促使高管們説：“好吧，讓我們退後一步。”

結果，在十一月宣佈，是安全未來倡議，這是一次全公司的安全重啓，高管們表示這將使微軟更好地應對當前威脅以及未來可能因人工智能而加劇的威脅。該項目由佈雷特·阿森諾特領導，他是副總裁兼首席網絡安全顧問，曾擔任微軟首席信息安全官長達14年。當被問及為何公司沒有更早解決網絡問題時，他表示，人工智能的出現和當前的黑客趨勢是進行更全面安全審查的原因之一。

“有某種分水嶺時刻或環境變化讓你重新思考你想如何去做，”他説，隨後補充道公司官員“充滿活力並專注於執行該倡議的承諾”，“這與政府所呼籲的許多內容是一致的。”

微軟表示將利用人工智能和自動化來提高軟件的安全性，並更多依賴被認為更安全的編程語言。該公司表示正在加強安全協議，以使黑客更難使用被盜憑證或訪問工具竊取數據。並且它承諾將更快速地響應安全漏洞，包括將基於雲的問題緩解速度提高50%。

查理·貝爾來源：微軟考慮到微軟的規模和其產品組合的複雜性，這是一項艱鉅的任務。該公司通過雲提供Windows、Office、Exchange電子郵件和其他產品，但仍繼續向客户提供他們自己的服務器。在後者的情況下，微軟為所謂的遺留系統中的缺陷提供“補丁”，並依賴客户安裝這些補丁並維護安全協議。客户並不總是會執行，而停止對過時程序如Windows XP或Windows 7的支持引發了軒然大波，因為許多程序嵌入在ATM、醫院硬件和其他關鍵系統中。

“你有一大堆東西需要清理，”貝爾説。“而且這隨着時間的推移在增長。”

微軟正在加快努力，刪除舊的或未使用的賬户，以及不再受到軟件更新支持或不符合新安全標準的應用程序。到目前為止，該公司已刪除超過170萬個與老舊或未使用賬户相關的身份，以及73萬個過時或不符合安全標準的應用程序，儘管尚不清楚總體上有多少身份和應用程序可能符合該描述。

微軟還在加強多因素身份驗證的使用，自動對公司內超過100萬個賬户強制執行，包括用於開發、測試、演示和生產的賬户，阿爾塞諾特表示。

該公司現在要求在創建數字身份的經理與員工或供應商之間進行視頻通話，並向新員工或供應商發放短期憑證——這些步驟旨在使攻擊者更難以冒充他人或竊取他們的身份。阿爾塞諾特表示，即使是擁有高級管理員權限的用户在創建新賬户時也無法關閉多因素身份驗證。

網絡威脅聯盟的首席執行官邁克爾·丹尼爾，這是一個分享網絡風險情報的非營利組織，部分由微軟的一些競爭對手資助，應彭博社的請求審查了該公司的當前努力。丹尼爾表示，如果完全實施，他們將增強公司平台（包括雲）的安全性。但他補充説，安全改革似乎並未完全解決網絡審查委員會強調的幾個關鍵問題，包括“不足”的安全文化。

‘可信計算’

如果微軟目前的困境聽起來很熟悉，那是因為該公司在早期經歷過一次類似的危機。當時，計算機蠕蟲正在干擾運行Windows的計算機。2002年1月，聯合創始人比爾·蓋茨發佈了他的“可信計算”備忘錄，敦促軟件開發人員優先考慮安全性。

“所以現在，當我們面臨在添加功能和解決安全問題之間做出選擇時，我們需要選擇安全性，”蓋茨寫道。“我們的產品應該從一開始就強調安全性。”

比爾·蓋茨攝影師：喬丹·馮德哈爾/Bloomberg微軟暫停了新Windows功能的開發數月，以修復漏洞，並試圖在其軟件工程師中創造一種更注重安全的文化

回顧那段時期，阿爾塞諾説那是一個更簡單的時代。因為微軟每隔幾年就發佈一個版本的Windows，所以可以暫停。這種情況不再存在，因為微軟及其競爭對手每天在雲中多次更新軟件。“這就是一個不同的公司，”阿爾塞諾説。

在接下來的幾年裏，微軟在搜索方面落後於谷歌，在移動設備方面落後於蘋果，在基於雲的服務方面落後於亞馬遜。追趕的壓力促使公司優先考慮速度而非安全性。微軟並不是唯一的。許多科技公司——渴望從硅谷的爆炸性增長中獲利——接受了一種以當時Facebook口號為典範的理念：“快速行動，打破常規。”

微軟遲來的雲計算轉型始於2010年。這一舉措讓公司能夠直接修復安全漏洞，而不是要求客户安裝補丁。但云服務帶來了新的安全挑戰，最近的泄露事件已明確表明這一點。

考慮到國家支持的黑客的複雜性和資源，完全阻止他們可能是不可能的。微軟的安全改革將有所幫助，但批評者表示，公司應該再次放慢新產品的發佈，以確保未來更好的韌性。上週，網絡委員會敦促微軟“在進行實質性安全改進之前，優先級降低公司雲基礎設施和產品套件的功能開發。”

事實上，微軟正在爭先恐後地利用其在生成性人工智能方面的早期優勢。貝爾表示，客户已經在詢問他們將如何保護所有新的AI程序。他給他們的答案是：購買更多微軟的安全軟件。

甚至網絡安全部門也感染了AI的熱潮——推出了一款幫助安全專業人員檢測和阻止黑客攻擊的助手。在過去幾周，公司的高管們在美國展示了這一名為“安全助手”的工具。根據微軟安全部門副總裁瓦蘇·賈卡爾的説法，早期客户對這一AI助手的反饋極為積極。

“我從未見過對任何安全工具如此大的興趣，”她説。

微軟公司和Palantir Technologies Inc.正在結合他們的政府雲計算和人工智能工具，旨在向美國國防和情報機構銷售軟件，包括OpenAI的GPT-4，用於機密任務。

作為協議的一部分，Palantir將其產品與微軟的Azure雲服務集成，為政府客户提供，包括用於機密使用的工具，並將在這些保密雲中採用微軟的Azure OpenAI服務。這兩家公司週四在一份聲明中表示，產品的組合將使美國國防工作人員能夠處理物流、合同和行動規劃等任務。