微软需要重新赢得信任

全球最大的科技公司存在安全问题。过去几年来，一系列备受瞩目的安全事件震撼了微软，网络安全审查委员会最近发布的一份措辞严厉的报告得出结论：“微软的安全文化不足，需要彻底改革。”微软内部担心这些攻击可能会严重损害对该公司的信任。

消息人士告诉我，微软的工程和安全团队一直在忙于应对来自俄罗斯国家资助的黑客的新攻击，这些黑客正是SolarWinds事件的幕后黑手。该黑客组织被称为Nobelium或MidnightBlizzard，去年就能够监视微软高级领导团队部分成员的电子邮件帐户，最近甚至窃取了源代码。

持续不断的攻击让微软内部的许多人感到恐慌，团队一直在努力改善微软的防御并试图防止进一步的破坏，而黑客则仔细研究他们窃取的信息并试图找到更多的弱点。安全始终是一场猫捉老鼠的游戏，但当黑客监视您的通信时，安全就会变得更加困难。

不过，这些只是一系列安全漏洞中的最新一起。中国政府黑客在2021年初利用零日漏洞攻击了MicrosoftExchange服务器，使他们能够访问电子邮件帐户并在企业托管的服务器上安装恶意软件。去年，中国黑客利用微软云漏洞入侵了美国政府电子邮件。该事件允许黑客访问22个组织的在线电子邮件收件箱，影响了500多人，其中包括从事国家安全工作的美国政府雇员。

美国网络安全审查委员会将去年的美国政府电子邮件攻击描述为“一系列安全故障”，该委员会表示，该攻击是“可以预防的”。调查还发现，微软内部的许多决策助长了“一种不重视企业安全投资和严格风险管理的企业文化”。微软仍然不能百分百确定密钥是如何被盗的，从而使中国黑客能够伪造令牌并访问高度敏感的电子邮件收件箱。

微软对这些攻击的主要反应是推出新的安全未来计划(SFI)，彻底改革其设计、构建、测试和运营其软件和服务的方式。SFI于11月揭晓，当时俄罗斯电子邮件间谍活动尚未曝光，SFI应该是自2004年微软推出安全开发生命周期(SDL)以来，微软安全工作的最大变化。SDL本身就是对导致崩溃的毁灭性Blaster蠕虫病毒的回应。2003年，WindowsXP机器问世，公司开始更加关注安全性。

在公开场合，我们对这个新的安全未来计划知之甚少，但在幕后，微软非常担心失去客户的信任。据消息人士透露，在本月早些时候的一次内部领导会议上，微软首席执行官萨蒂亚·纳德拉和总裁布拉德·史密斯都谈到需要将安全放在首位。微软最高层担心这些安全问题正在侵蚀信任，因此必须重新赢回客户的信任。

据我所知，微软的工程主管现在优先考虑安全性，而不是新功能或更快地交付产品。就在几周前，网络安全审查委员会表示，微软应该“降低公司云基础设施和产品套件的功能开发优先级，直到实现实质性的安全改进。”

据我所知，人工智能和安全现在都是微软内部最关注的两个焦点，特别是随着该公司人工智能技术的快速推出，带来了更多潜在的安全问题。随着越来越多的微软客户迁移到云端并采用人工智能，对安全性的需求也随之增加。由于这次云转型，微软已经建立了价值200亿美元的安全业务，但它主要基于在现有订阅之上追加销售安全性。

微软资深记者MaryJoFoley本周早些时候呼吁微软“停止将安全作为优质产品销售”。Foley强调了某些安全工具如何仅作为Microsoft365订阅之上的附加组件提供，并且一些客户以前无法查看可能允许他们检测事件的关键日志记录信息。

前白宫网络政策高级主管AJGrotto也表达了同样的观点。“如果你回顾几年前的SolarWinds事件……[微软]本质上是向联邦机构推销日志记录功能，”格罗托最近在接受TheRegister采访时表示。“因此，各机构很难确定自己是否受到SolarWinds漏洞的影响。”

Microsoft通过将日志的可用时间从去年的90天增加到180天来回应有关日志信息的投诉，但如果组织想要获得Microsoft的大部分安全性和合规性功能，他们仍然需要选择更昂贵的Microsoft365E5订阅。

尽管微软不得不透露俄罗斯黑客最近窃取了源代码，但几天后，该公司宣布将开始以按需付费的方式销售其CopilotforSecurity。这款生成式AI聊天机器人专为网络安全专业人士设计，可帮助他们防范威胁，但如果企业想要使用微软的安全专用AI模型，则必须支付每小时4美元的使用费用。

这种追加销售以及组织对微软软件的巨大依赖也没有被立法者忽视。美国政府严重依赖微软的软件，而电子邮件泄露事件使这种关系更加受到关注。“美国政府对微软的依赖对美国国家安全构成了严重威胁，”参议员罗恩·怀登(D-OR)在给《连线》杂志的一份声明中表示。怀登多年来一直批评微软的网络安全工作，并在去年美国政府电子邮件泄露事件后呼吁联邦政府进行调查。

未来几个月，微软将如何应对对其安全实践日益增长的批评，这一点将很能说明问题。虽然网络安全审查委员会认为Microsoft的安全文化已被破坏，但Microsoft并不同意。“我们非常不同意这种描述，”微软联邦安全业务首席技术官SteveFaehl在给Wired的一份声明中表示。“尽管我们确实承认我们并不完美，还有很多工作要做。”

不过，格罗托在接受TheRegister采访时表示，微软的行为只有在被迫的情况下才会改变。“除非这种审查能够改变可能想要转向其他地方的客户的行为，否则微软改变的动力不会像应有的那么强烈。”