近年來(lái)經(jīng)過(guò)一連串收購(gòu)，微軟公司已經(jīng)“內(nèi)卷”成為一家網(wǎng)絡(luò)安全巨頭，但是這個(gè)牽動(dòng)千萬(wàn)家企業(yè)客戶(hù)的科技巨頭自身的安全態(tài)勢(shì)和安全挑戰(zhàn)卻鮮為人知。

　　漏洞之王

　　在過(guò)去的幾年中，與微軟有關(guān)的漏洞和黑客攻擊的負(fù)面消息不絕于耳。顯然，無(wú)處不在的微軟產(chǎn)品（及其中的漏洞）對(duì)于黑客來(lái)說(shuō)是極具吸引力的攻擊媒介。根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的一份報(bào)告，自2022年初以來(lái)，微軟已報(bào)告了238個(gè)網(wǎng)絡(luò)安全漏洞，占今年迄今為止發(fā)現(xiàn)的所有漏洞的30%。

　　2021年，美國(guó)國(guó)家安全局（NSA）、FBI、CISA和CIA等主要機(jī)構(gòu)發(fā)布了黑客利用最多的15個(gè)漏洞和暴露（CVE）。其中，60%（9個(gè)）來(lái)自微軟設(shè)計(jì)、運(yùn)營(yíng)和擁有的系統(tǒng)，包括Exchange Server中的7個(gè)CVE。

　　尤其讓美國(guó)網(wǎng)絡(luò)安全專(zhuān)家們感到焦慮的是，微軟在美國(guó)政府IT系統(tǒng)和辦公采購(gòu)中占據(jù)主導(dǎo)地位，市場(chǎng)份額高達(dá)85%，這意味著微軟面臨的黑客威脅，也是美國(guó)政府的安全挑戰(zhàn)。

　　微軟在2021年底再次成為頭條新聞，微軟警告客戶(hù)Azure云平臺(tái)中央數(shù)據(jù)庫(kù)Cosmos DB的一個(gè)組件（可視化工具Jupyter Notebook）存在配置錯(cuò)誤，該組件默認(rèn)啟用，導(dǎo)致數(shù)據(jù)暴露長(zhǎng)達(dá)兩年。安全公司W(wǎng)iz的一個(gè)研究團(tuán)隊(duì)發(fā)現(xiàn)通過(guò)該漏洞能夠獲取數(shù)千家公司的數(shù)據(jù)庫(kù)的訪問(wèn)密鑰。成千上萬(wàn)依賴(lài)Azure Cosmos DB的客戶(hù)（包括?？松梨诤涂煽诳蓸?lè)等知名企業(yè)）的數(shù)據(jù)庫(kù)面臨被未授權(quán)訪問(wèn)、寫(xiě)入或刪除的巨大風(fēng)險(xiǎn)。

　　由于微軟產(chǎn)品生態(tài)系統(tǒng)中不斷發(fā)現(xiàn)黑客攻擊和漏洞，其他科技巨頭，如谷歌，已經(jīng)在網(wǎng)絡(luò)安全創(chuàng)新領(lǐng)域超越了微軟。最近，在Cloud Next '22活動(dòng)中，谷歌發(fā)布了一項(xiàng)快速漏洞檢測(cè)服務(wù)。該工具是Security Command Center Premium中的一項(xiàng)零配置服務(wù)，可檢測(cè)暴露的管理界面、弱憑據(jù)和不完整的軟件安裝等漏洞。

　　作為一家產(chǎn)品和客戶(hù)遍布全球的科技巨頭，微軟的網(wǎng)絡(luò)安全實(shí)踐存在哪些短板？微軟未來(lái)面臨（帶給我們）什么樣的威脅？

　　脆弱的巨鯊

　　在過(guò)去的15年中，微軟在強(qiáng)化Windows內(nèi)核方面取得了進(jìn)展，Windows內(nèi)核是黑客接管設(shè)備的關(guān)鍵所在，微軟對(duì)可在內(nèi)核模式下運(yùn)行的系統(tǒng)驅(qū)動(dòng)程序引入了新的嚴(yán)格限制，這被看作是微軟加固內(nèi)核的關(guān)鍵舉措。

　　2019年2月，軟件公司SolarWinds遭到名為Nobelium的疑似國(guó)家黑客組織的軟件供應(yīng)鏈攻擊。該組織獲得了對(duì)數(shù)千名SolarWinds客戶(hù)的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問(wèn)權(quán)限，從而導(dǎo)致了有史以來(lái)最大規(guī)模的黑客攻擊，根據(jù)事件的有關(guān)報(bào)道，微軟產(chǎn)品的漏洞大大增加了SolarWinds攻擊的破壞性。

　　前白宮網(wǎng)絡(luò)政策主管安德魯·格洛托表示，此類(lèi)攻擊的一部分原因在于遺留代碼庫(kù)問(wèn)題。

　　“微軟產(chǎn)品需要付出很多努力才能以正確的方式進(jìn)行配置，并且由于此類(lèi)配置問(wèn)題，這些產(chǎn)品很容易受到利用。攻擊者越來(lái)越深入地滲透到受害者的網(wǎng)絡(luò)中，并利用了微軟產(chǎn)品中的配置問(wèn)題”格洛托說(shuō)道。

　　壞消息接踵而來(lái)，2021年3月，一群代號(hào)Hafnium的黑客利用微軟Exchange軟件的弱點(diǎn)，控制了大量企業(yè)服務(wù)器并訪問(wèn)敏感的公司和政府組織信息。FBI甚至需要“黑入”數(shù)百臺(tái)美國(guó)企業(yè)的計(jì)算機(jī)服務(wù)器才最終清除Hafnium惡意軟件。作為補(bǔ)救措施，2021年4月微軟一口氣發(fā)布了114個(gè)關(guān)鍵漏洞的補(bǔ)丁。

　　2022年3月，微軟宣布遭到犯罪黑客組織Lapsus$的入侵，后者入侵了一個(gè)微軟內(nèi)部帳戶(hù)，能夠“有限地訪問(wèn)”公司數(shù)據(jù)。然而，微軟否認(rèn)該犯罪集團(tuán)獲得了任何微軟客戶(hù)的數(shù)據(jù)。

　　微軟后來(lái)承認(rèn)，Lapsus￥竊取了微軟某些產(chǎn)品相關(guān)的部分源代碼。Lapsus$方面則聲稱(chēng)已經(jīng)獲得了Bing搜索引擎和Cortana語(yǔ)音助手的源代碼。（但微軟聲稱(chēng)其安全措施并不依賴(lài)其源代碼的保密性）

　　北極狼（Arctic Wolf）首席產(chǎn)品官、前微軟安全主管Dan Schiappa認(rèn)為，微軟的軟件代碼通常新舊混合，這意味著很難確保沒(méi)有漏洞：“微軟需要借助整個(gè)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來(lái)幫助其龐大的技術(shù)基礎(chǔ)。微軟會(huì)持續(xù)改善安全狀況，但我不相信微軟有辦法顯著降低風(fēng)險(xiǎn)。因此，搭配適當(dāng)?shù)陌踩a(chǎn)品組合或服務(wù)是確保您安全使用微軟產(chǎn)品的最佳方式?！?/p>

　　微軟的產(chǎn)品生態(tài)系統(tǒng)瓶頸

　　作為市場(chǎng)上占主導(dǎo)地位的企業(yè)技術(shù)供應(yīng)商，微軟的產(chǎn)品始終是攻擊者的熱門(mén)目標(biāo)。例如：

　　威脅情報(bào)公司Cluster25最近報(bào)告稱(chēng)，俄羅斯GRU（俄羅斯總參謀部主要情報(bào)局）旗下的威脅組織APT28（又名Fancy Bear）早在9月9日就使用新策略部署了Graphite惡意軟件。

　　攻擊者使用PowerPoint（。PPT）文件引誘目標(biāo)，當(dāng)受害者以演示模式打開(kāi)文檔并將鼠標(biāo)懸停在超鏈接上時(shí)，會(huì)啟動(dòng)惡意PowerShell腳本，從Microsoft OneDrive帳戶(hù)下載JPEG文件。該文檔還包括一個(gè)超鏈接，該鏈接通過(guò)SyncAppvPublishingServer工具觸發(fā)惡意PowerShell腳本的執(zhí)行，使用受害者計(jì)算機(jī)上的Microsoft Graph API和OneDrive進(jìn)行進(jìn)一步的命令和控制通信。

　　此外，易受攻擊的Microsoft SQL服務(wù)器也成為新一輪FARGO勒索軟件攻擊的目標(biāo)。MS-SQL服務(wù)器是數(shù)據(jù)庫(kù)管理系統(tǒng)，用于保存互聯(lián)網(wǎng)服務(wù)和應(yīng)用程序的數(shù)據(jù)，攻擊者對(duì)這些數(shù)據(jù)的泄露和破壞可導(dǎo)致嚴(yán)重的業(yè)務(wù)問(wèn)題。FARGO與GlobeImposter一樣，是以MS-SQL服務(wù)器為重點(diǎn)的勒索軟件之一。

　　安全專(zhuān)家后來(lái)發(fā)現(xiàn)這些漏洞是由于使用了弱憑據(jù)，以及受害者服務(wù)器缺少最新的安全補(bǔ)丁，這與微軟難以配置的早期問(wèn)題相呼應(yīng)。

　　微軟的Windows10操作系統(tǒng)也在引發(fā)新的焦慮。根據(jù)Lansweeper的研究，在Windows11首次公開(kāi)發(fā)布一年后，只有2.6%的用戶(hù)升級(jí)到了Windows11。由于Microsoft嚴(yán)格的系統(tǒng)要求，42%的PC甚至沒(méi)有資格進(jìn)行自動(dòng)升級(jí)。這意味著企業(yè)IT經(jīng)理們難以在2025年之前升級(jí)或更換數(shù)百萬(wàn)臺(tái)機(jī)器，而屆時(shí)微軟表示將停止支持Windows10。

　　CISO如何降低風(fēng)險(xiǎn)

　　Anomali威脅研究副總裁Steve Benton認(rèn)為，利用已知漏洞只是達(dá)到目的的一種手段，是攻擊鏈的一部分，其中包含多個(gè)必須成功的組件。

　　“嚴(yán)酷的事實(shí)是，我們都應(yīng)該接受這樣一個(gè)想法，即你不應(yīng)該依賴(lài)任何產(chǎn)品來(lái)保證100%的安全，”Benton說(shuō)道：“人們必須制定并執(zhí)行一項(xiàng)戰(zhàn)略，將一整套多層安全控制措施落實(shí)到位。該策略應(yīng)該專(zhuān)注于由TTP（策略、技術(shù)和程序）組成的更廣泛的攻擊鏈，這些攻擊鏈由攻擊者驅(qū)動(dòng)，其動(dòng)機(jī)和目標(biāo)通過(guò)相關(guān)的、可操作的情報(bào)來(lái)理解?！?/p>

　　Benton建議采用三重方法：

　　多層縱深防御策略。確保您了解您的攻擊面和關(guān)鍵資產(chǎn)，并部署了一套重疊的多層安全控制。此外，確保這些組件完全部署到目標(biāo)范圍、完全可操作并受到監(jiān)控。

　　減少暴露。為所有這些組件定義策略和標(biāo)準(zhǔn)，防止漏洞暴露（即，不要將自己廉價(jià)地暴露給攻擊者）。

　　威脅情報(bào)能力。分析什么樣的黑客可能會(huì)攻擊你，揣測(cè)他們的動(dòng)機(jī)或最終目標(biāo)，以及他們可能會(huì)如何實(shí)施。這種關(guān)鍵情報(bào)能力使企業(yè)保護(hù)業(yè)務(wù)和客戶(hù)時(shí)能夠確定資源的優(yōu)先級(jí)，并針對(duì)與企業(yè)相關(guān)的當(dāng)前和新興威脅建立和維護(hù)動(dòng)態(tài)安全態(tài)勢(shì)。

　　Alert Logic安全研究和威脅情報(bào)主管Mike Dausin表示：“積極的漏洞和補(bǔ)丁管理策略是企業(yè)安全管理的頭等大事。與此同時(shí)，采集設(shè)備產(chǎn)生的情報(bào)數(shù)據(jù)至關(guān)重要。許多成功的攻擊之所以被忽視，僅僅是因?yàn)閬?lái)自受影響設(shè)備的日志和信號(hào)未被注意。收集、處理和監(jiān)控這些信號(hào)對(duì)于捕捉現(xiàn)代威脅至關(guān)重要?！?/p>

　　微軟的未來(lái)會(huì)怎樣

　　Deep Instinct競(jìng)爭(zhēng)情報(bào)分析師Jerrod Piker表示，微軟軟件解決方案在全球各種規(guī)模的企業(yè)中仍將廣泛使用，未來(lái)新漏洞的發(fā)現(xiàn)速度可能比目前更快。最近暴露的微軟漏洞表明，這些漏洞利用的復(fù)雜性和規(guī)模將繼續(xù)增長(zhǎng)。

　　Piker認(rèn)為，雖然微軟提供了一套廣泛的安全解決方案，但在保護(hù)自身軟件開(kāi)發(fā)生命周期本身方面似乎沒(méi)有取得重大進(jìn)展。

　　“微軟自身的安全工作相對(duì)被動(dòng)，未能成功地將安全融入軟件開(kāi)發(fā)流程，這一點(diǎn)沒(méi)有根本性的改變之前，我們很可能不會(huì)看到微軟軟件解決方案漏洞的數(shù)量有顯著降低?！盤(pán)iker說(shuō)道。

　　在剛剛公布的2022三季度財(cái)報(bào)中，微軟的云服務(wù)給出了亮眼的增長(zhǎng)數(shù)據(jù)。但Piker認(rèn)為，只有當(dāng)基本安全功能成為微軟所有價(jià)位的云服務(wù)的標(biāo)配時(shí)，其安全承諾才能完全實(shí)現(xiàn)。

　　“事件記錄和多因素身份驗(yàn)證等基本安全功能應(yīng)該被視為標(biāo)準(zhǔn)的IT功能。不幸的是，微軟的云生態(tài)系統(tǒng)似乎仍然缺少這種底層功能，”P(pán)iker指出：“從安全角度來(lái)看，這是制約微軟云生態(tài)系統(tǒng)發(fā)揮其全部潛力的一個(gè)因素?！?/p>

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<