前美國政府網(wǎng)絡(luò)安全高官撰文，指責(zé)微軟公司在一邊制造網(wǎng)絡(luò)安全問題，一邊設(shè)法解決這些問題，并從解決的過程中獲利；

　　即使像美國聯(lián)邦政府這樣的巨無霸甲方，面對壟斷地位的乙方，也只能被“鎖定”。面對這一形勢，該如何破局呢？

　　本文作者Andrew J. Grotto，曾擔(dān)任美國國家安全委員會前網(wǎng)絡(luò)安全政策高級主管，《安全內(nèi)參》社區(qū)全文編譯如下。

　　今年2月，微軟公司發(fā)布一項名為“現(xiàn)代日志管理計劃”（Modern Log Management Program）的網(wǎng)絡(luò)安全服務(wù)。該服務(wù)主要面向聯(lián)邦政府客戶，可提供一套微軟公司開發(fā)的可視化工具和修復(fù)工具，幫助客戶從不同的微軟產(chǎn)品中抽取診斷數(shù)據(jù)，以便更深入地了解自己網(wǎng)絡(luò)上正在發(fā)生的事件。

　　微軟公司聲稱，“現(xiàn)代日志管理計劃”旨在幫助美國聯(lián)邦行政部門，達(dá)到管理與預(yù)算辦公室（OMB）2021年8月在M-21-31備忘錄中制定的網(wǎng)絡(luò)安全事件日志記錄要求。微軟承諾以折扣價格向客戶推廣“現(xiàn)代日志管理計劃”，聯(lián)邦行政部門因而能夠“緩解M-21-31備忘錄要求增加日志源及日志存儲帶來的預(yù)算壓力”。

　　從表面上看，微軟以折扣價格提供新的網(wǎng)絡(luò)安全服務(wù)無異于是在做義務(wù)勞動。但仔細(xì)斟酌M-21-31備忘錄出臺的背景，以及微軟公司在聯(lián)邦信息技術(shù)領(lǐng)域獨一無二的地位就可以看出，這家公司實際上是在一邊制造網(wǎng)絡(luò)安全問題，一邊設(shè)法解決這些問題，并從解決的過程中獲利。

　　日爆事件催生網(wǎng)絡(luò)安全要求

　　管理與預(yù)算辦公室注意到，“包括SolarWinds網(wǎng)絡(luò)攻擊在內(nèi)的多起網(wǎng)絡(luò)安全事件越來越凸顯出，政府可見性在事件發(fā)生前、事中和事后的重要性?！币蚨贛-21-31備忘錄中制定了相關(guān)要求。

　　SolarWinds事件是2020年12月曝光的。當(dāng)時，美國網(wǎng)絡(luò)安全公司火眼（FireEye）宣布發(fā)現(xiàn)一起俄羅斯網(wǎng)絡(luò)間諜活動，并將其稱為“SolarWinds”攻擊事件。事實上，SolarWinds是一家軟件廠商的名字，Orion網(wǎng)絡(luò)監(jiān)控軟件是其代表產(chǎn)品。

　　有俄羅斯政府背景的黑客于2019年某個時候侵入了該公司的軟件研發(fā)系統(tǒng)，并在某個軟件更新包中植入惡意代碼——此類網(wǎng)絡(luò)攻擊被稱為“供應(yīng)鏈攻擊”。SolarWinds的客戶只要安裝更新，隱藏其中的惡意代碼就會給俄羅斯黑客建立一個“橋頭堡”，使其能夠更深地入侵SolarWinds客戶的網(wǎng)絡(luò)并竊取其中的秘密。

　　SolarWinds攻擊事件還有兩個不太知名的名字，即“諾事件”（Nobelium）和“日爆事件”（SUNBURST，下文將以此代稱SolarWinds攻擊事件）。這起被認(rèn)定為“供應(yīng)鏈攻擊”的網(wǎng)絡(luò)安全事件要求攻擊者擁有周密的策劃和極大的耐心，其受害者范圍很廣，既包括美國聯(lián)邦機構(gòu)、州和地方政府部門，也涉及大學(xué)以及大批世界500強公司（如思科、英特爾和微軟），所以被大部分網(wǎng)絡(luò)安全專家列為至今為止最嚴(yán)重的網(wǎng)絡(luò)安全事件之一。

　　“日爆事件”應(yīng)該為俄羅斯政府帶來了大量寶貴情報，但其操控者并未因此停下為其升級的腳步：他們?nèi)栽诓粩嗟剡\用自己的技巧，以期躲過監(jiān)測并執(zhí)行更進(jìn)一步的攻擊。

　　同樣角色，不同命運

　　SolarWinds vs 微軟

　　如果說SolarWinds被大多數(shù)人認(rèn)為是攻擊者入侵的主要入口的話，微軟則是引導(dǎo)攻擊者進(jìn)入日爆事件眾多受害者網(wǎng)絡(luò)的“敲門磚”。攻擊者侵入安裝有Orion軟件的網(wǎng)絡(luò)后，通常會利用微軟云產(chǎn)品或微軟365產(chǎn)品中存在的漏洞侵入更多的IT系統(tǒng)（比如受害者的云賬戶），并對入侵痕跡進(jìn)行隱藏。

　　日爆事件中，有三分之一的受害者并未使用Orion軟件，但仍被攻擊者以不同手段入侵。侵入后的攻擊者同樣會利用微軟365產(chǎn)品中存在的漏洞執(zhí)行更深層次的入侵，并在受害者網(wǎng)絡(luò)系統(tǒng)中進(jìn)行橫向移動。

　　大西洋理事會研究人員對日爆事件進(jìn)行全面分析后認(rèn)為，“正是上述幫助攻擊者侵入目標(biāo)系統(tǒng)云服務(wù)的橫向移動，以及對微軟公司身份認(rèn)證服務(wù)的不法使用，使得（日爆事件）已不僅僅是一起大規(guī)模軟件供應(yīng)鏈攻擊，而且成為俄羅斯操縱的成功的大范圍網(wǎng)絡(luò)情報活動?！?/p>

　　日爆事件過去一年后，SolarWinds和微軟兩家公司走上了截然不同的命運之路。

　　事件中大約70%的受害者由于使用SolarWinds公司的Orion軟件而引狼入室，該公司因此付出了沉重代價，不僅內(nèi)部網(wǎng)絡(luò)安全措施倍受責(zé)難，整體經(jīng)營活動也磨難重重。

　　受日爆事件影響，SolarWinds公司的業(yè)績用一落千丈來形容毫不為過——其業(yè)務(wù)流水賬減少4000萬美元，投資者至今仍被告知，日爆事件“將對2021年及之后的營收、利潤和現(xiàn)金流產(chǎn)生負(fù)面影響”。盡管實施了兩股換一股的反向股票分割并向股東派發(fā)了特別股息，但公司股票自去年此時起暴跌40%的局面仍無法挽回。SolarWinds的競爭對手趁機搶占市場份額，宣稱自己的產(chǎn)品安全且易上手（替代SolarWinds公司的產(chǎn)品）?！翱蛻艨梢栽诓坏⒄`時間、不花費額外資金而且沒有操作經(jīng)驗的情況下，很容易地使用我們的產(chǎn)品，”其中一家競爭公司在廣告中為自己的產(chǎn)品吹噓稱。

　　相反，微軟公司卻在日爆事件中逆勢而起。今年以來其股票價格大漲40%，與SolarWinds公司形成了鮮明對比。公司營收也創(chuàng)造了自2018年以來的最快增速，同比增長22%。

　　微軟產(chǎn)品“帶病”上場，

　　愈發(fā)嚴(yán)重

　　盡管2021年的微軟公司在經(jīng)營收入方面所獲頗豐，但在網(wǎng)絡(luò)安全方面卻遭遇了諸多麻煩。

　　首先是微軟Exchange Servers中零日漏洞的曝光。2021年3月，網(wǎng)絡(luò)安全博主Brian Krebs指出，Exchange Server存在多個零日漏洞，可能被別有用心者通過遠(yuǎn)程控制實施大規(guī)模網(wǎng)絡(luò)攻擊。微軟公司公開宣布上述漏洞前后，受害者數(shù)量就超過了6萬。一周后，微軟公司針對Windows系統(tǒng)發(fā)布更新，對82個安全問題進(jìn)行修補，其中10個被公司標(biāo)記為“高?！保òㄒ粋€涉及IE瀏覽器的嚴(yán)重安全漏洞）。

　　2021年6月，微軟公司針對另外6個已被攻擊者發(fā)現(xiàn)并利用的零日漏洞發(fā)布更新補丁。7月，針對PrintNightmare漏洞發(fā)布緊急更新。該漏洞存在于Windows Print Spooler服務(wù)中，可被攻擊者利用來獲取系統(tǒng)的完整控制。微軟的霉運仍在持續(xù)。8月，一組研究人員宣布在Microsoft Exchange使用的Autodiscover協(xié)議中發(fā)現(xiàn)設(shè)計缺陷，可被攻擊者用來采集Windows域賬號憑據(jù)。另一組研究人員則發(fā)現(xiàn)了一個更嚴(yán)重的漏洞——可用來“完全無限制地登陸數(shù)千家Microsoft Azure客戶的賬戶及數(shù)據(jù)庫”。

　　9月的日子更艱難。微軟公司先是宣布發(fā)現(xiàn)一個能夠影響MSHTML（IE和Microsoft Office的軟件組成）的遠(yuǎn)程代碼執(zhí)行漏洞。緊接著又發(fā)布了三個針對零日漏洞的補丁程序。這三個漏洞均被標(biāo)記為“高?！保粽呖赏ㄟ^它們對系統(tǒng)實施入侵。9月末，研究人員發(fā)現(xiàn)了日爆事件操盤手在系統(tǒng)中植入的惡意軟件，這款被稱為FoggyWeb的惡意軟件，可用來竊取用戶的配置數(shù)據(jù)庫以及安全令牌證書。

　　2021年10月，微軟公司聲稱已告知140多家微軟產(chǎn)品的第三方零售商和服務(wù)提供商，日爆事件的操盤手已經(jīng)把他們列為目標(biāo)。實際上，截至2021年10月，已發(fā)現(xiàn)其中14家遭到入侵。

　　不得不承認(rèn)，2021年對整個網(wǎng)絡(luò)安全界來說都是困難的一年。研究顯示，該年度的數(shù)據(jù)泄露事件數(shù)量一路走高，到9月時已超過2020年的全年水平。勒索軟件攻擊事件也是如此。2021年發(fā)現(xiàn)的零日漏洞數(shù)量也創(chuàng)下新高，僅在“在野”攻擊發(fā)生后發(fā)現(xiàn)的就有58個，比2020年全年發(fā)現(xiàn)的數(shù)量翻了一番。其中在微軟產(chǎn)品中發(fā)現(xiàn)的多達(dá)21個（最多）。蘋果、谷歌和其他公司的產(chǎn)品中也有發(fā)現(xiàn)。

　　相比SolarWinds，

　　微軟的客戶地位更強勢

　　實際上，SolarWinds公司的客戶中有很大一部分愿意再給該公司一次機會——數(shù)據(jù)顯示，SolarWinds公司的客戶并非全部都轉(zhuǎn)而使用了競爭對手的類似服務(wù)。2021年2月，公司首席執(zhí)行官Sudhakar Ramakrishna對投資人表示，“我走訪的很大一部分客戶很清楚，針對我們以及其他公司的網(wǎng)絡(luò)安全事件會發(fā)生在任何公司身上，特別是像SolarWinds這樣布局廣泛的大型公司更容易受到攻擊?！?/p>

　　確實，SolarWinds的客戶有兩個可選項：原諒及放棄。數(shù)字產(chǎn)品不會決定世界的存亡，即使明天消失，這個世界也會正常運行。比如，F(xiàn)acebook公司及其多個應(yīng)用程序曾遭遇宕機危機，致使30多億民眾喪失了聯(lián)絡(luò)手段。危機雖然給很多人造成不便，但那絕不是世界末日——還有很多其他完好無損的通訊手段可以選擇。

　　同理，SolarWinds的客戶可以在日爆事件后選擇先關(guān)閉Orion軟件，然后或者徹底終止其使用（2020年12月后確實有部分客戶這么做），或者在安裝了安全補丁之后恢復(fù)使用（包括聯(lián)邦政府機構(gòu)在內(nèi)的其他客戶的選擇）。不過，如果SolarWinds再遭受一次網(wǎng)絡(luò)安全事件，恐怕就不會那么容易得到客戶的諒解了。

　　相比之下，微軟公司則在客戶面前處于一個比較強勢的地位。只要后者的IT設(shè)施以微軟產(chǎn)品為基礎(chǔ)搭建起來，再想轉(zhuǎn)而使用其他公司的產(chǎn)品就會非常困難。即使最終轉(zhuǎn)換成功，也會存在崩潰的潛在可能，或付出巨大的努力和代價。

　　如果客戶更換產(chǎn)品的可能性很?。ㄒ蜣D(zhuǎn)換成本太高或沒有實際可用的替代產(chǎn)品造成），軟件商就會把更多風(fēng)險轉(zhuǎn)移到他們身上。換句話說，客戶在某種程度上被“鎖定”了。

　　“客戶鎖定”

　　讓微軟不再擔(dān)心市場競爭

　　毫無疑問的是，微軟公司網(wǎng)絡(luò)安全人員2021年度的工作異常勤奮——人們不應(yīng)該質(zhì)疑他們?yōu)楸Ｗo(hù)客戶免受惡意軟件攻擊而做出的努力。因此在2021年8月，公司與其他科技巨頭一起參加白宮峰會時，有信心宣布將對聯(lián)邦政府的網(wǎng)絡(luò)安全提供更多支持。

　　微軟的決定是受歡迎的。但系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS Institute）新興安全趨勢主管John Pescatore卻對此不以為然。他認(rèn)為，微軟公司的網(wǎng)絡(luò)安全承諾“有點像特斯拉公司組建了一個數(shù)字犯罪應(yīng)對小組，專門抓捕利用特斯拉車門無法鎖閉而偷車的竊賊”。另外，更換軟件提供商也可以用換車來比喻。如果換車成本太高，放棄特斯拉轉(zhuǎn)而購買其他公司的車輛就不那么現(xiàn)實了。一些客戶可能就會另無選擇地接受車輛可能被偷盜的風(fēng)險。所以，“客戶鎖定”是“勝者全拿”網(wǎng)絡(luò)效應(yīng)的陰暗面。這種陰暗面在軟件市場上確實存在，對網(wǎng)絡(luò)安全是不利的。

　　“勝者全拿”效應(yīng)最直觀的體現(xiàn)是這樣的，即客戶越多，某個軟件產(chǎn)品的價值就越高。以協(xié)作平臺為例。對單一用戶來說這個平臺并沒有多大用處。但隨著用戶的增多，平臺的價值就會水漲船高，反過來吸引來更多用戶。這一理論通常會讓軟件公司感受到壓力。后者因此會設(shè)法迅速搶占市場份額，希望能夠觸發(fā)上述網(wǎng)絡(luò)效應(yīng)以便幫助自己形成對市場的主導(dǎo)。

　　軟件行業(yè)內(nèi)有一句俏皮話來調(diào)侃這種急功近利的做法，即“周一發(fā)布，周二給補丁”。也就是說，一款高性能軟件即使存在安全隱患，也會被公司立即推出以搶占或保護(hù)市場份額，而不是推遲發(fā)布，等待安全性得到進(jìn)一步完善后才發(fā)布。到那時，用戶是不會因為安全性高而對它另眼相看的。

　　“勝者全拿”效應(yīng)讓用戶轉(zhuǎn)而使用其他軟件提供商的產(chǎn)品變得非常困難。比如，如果某用戶選擇產(chǎn)品的部分原因是其他用戶也在使用它，那么轉(zhuǎn)而使用其他軟件提供商產(chǎn)品的決定可能一舉成功，也可能一敗涂地——取決于其他用戶是否也會冒險轉(zhuǎn)用同款其他軟件。

　　另外，轉(zhuǎn)用其他軟件提供商產(chǎn)品的成本和風(fēng)險是巨大的。其成本不僅包括新軟件的購買費用，還有更換軟件耗費的工作時間、用戶在適應(yīng)新軟件過程中導(dǎo)致的工作效率降低以及用戶和技術(shù)支持人員的培訓(xùn)等。風(fēng)險也是顯而易見的，包括但不限于更換軟件對某些持不同意見者工作熱情形成的打擊，以及轉(zhuǎn)換未按計劃順利完成對業(yè)務(wù)活動構(gòu)成的擾亂，等等。

　　打折或免費安全服務(wù)

　　更像釣魚

　　再來看一下聯(lián)邦政府機構(gòu)。微軟公司的Windows操作系統(tǒng)在聯(lián)邦政府機構(gòu)內(nèi)的應(yīng)用非常普及，Office辦公軟件在政府機構(gòu)內(nèi)所占份額更是高達(dá)85%。

　　換句話說，微軟公司已經(jīng)在某種程度上“鎖定”了政府客戶——如果IT部門圍繞某件產(chǎn)品搭建本機構(gòu)的業(yè)務(wù)處理系統(tǒng)（正如聯(lián)邦政府機構(gòu)大范圍使用Windows操作系統(tǒng)和Office 辦公軟件那樣），那么對這個系統(tǒng)進(jìn)行更換就成為一件得不償失的事情。即使看出了風(fēng)險苗頭，慣性也會讓人們安于現(xiàn)狀，讓改變難上加難。

　　在過去的一年中，微軟公司的某些做法引起了用戶的不滿。比如，該公司曾準(zhǔn)備就Microsoft 365 產(chǎn)品的基礎(chǔ)安全服務(wù)（例如事件記錄）向聯(lián)邦政府機構(gòu)收取費用。很顯然，公司做這個決定的時候并沒有把面臨的競爭壓力看在眼里（很大一部分原因是“客戶鎖定”讓他們不擔(dān)心客戶流失）。但后來因為議員們抱怨服務(wù)價格太高，而且微軟公司向用戶收取費用來保護(hù)本公司產(chǎn)品安全有點不太像話，所以微軟最終決定向聯(lián)邦政府客戶提供一年的免費使用期。

　　有報道稱，該公司最近又做了一件讓人吐槽的事情，即告知其商業(yè)伙伴，如果不把按月訂購的服務(wù)改成按年訂購的話，公司就將在2022年把他們使用的Office產(chǎn)品價格提高20%。CNBC記者Jordan Novet認(rèn)為，微軟公司的做法是典型的“運用其在辦公軟件市場上的主導(dǎo)地位，強迫部分Office用戶在付出更多費用與增加訂購時長之間做選擇”。此前，微軟已宣布大幅提高M(jìn)icrosoft 365產(chǎn)品的價格。

　　事實上，價格并非微軟公司與其用戶討價還價的唯一砝碼，他們還可以在產(chǎn)品性能上做做文章——從默認(rèn)的基礎(chǔ)配置到高級別的優(yōu)化配置，應(yīng)有盡有。但享受什么樣的服務(wù)（包括安全服務(wù)）就要付出什么樣的價格。簡單地說，微軟這樣的軟件提供商會建立一種價格促銷機制。價格越低，享受的安全服務(wù)就越少；反之則越多。這是一種變相提高價格的手段。建立在上述機制基礎(chǔ)上的微軟安全服務(wù)業(yè)務(wù)價值高達(dá)150億美元。日爆事件后，微軟公司曾試圖在聯(lián)邦政府機構(gòu)用戶身上應(yīng)用這套機制。

　　建立安全服務(wù)的提供標(biāo)準(zhǔn)可以在一定程度上解決軟件公司的“貪婪”問題。也就是說，公司應(yīng)該按照標(biāo)準(zhǔn)向用戶提供某種安全服務(wù)，否則會觸發(fā)用戶或制度的強烈抵制。但這里同樣有一個無法解決的困境，那就是聯(lián)邦政府機構(gòu)或者其他部門用戶早已被微軟公司“鎖定”，除了使用該公司提供的安全服務(wù)幾乎別無選擇。

　　微軟公司對很用戶的“鎖定”讓自己在談判中擁有優(yōu)勢，用戶不太可能強烈要求公司提供更多安全服務(wù)。從這個角度說，微軟公司向政府免費提供一年安全服務(wù)的決定更像一個魚餌——一旦政府機構(gòu)接受就再也無法回頭，即使微軟開始對其服務(wù)收取費用。