一直计划网络安全升级的微软,解决安全漏洞的时间正在变长。
据The Information报道,全球市值最高的IT安全公司Palo Alto Networks的研究人员称,在6月中旬,微软修复了其Azure平台拓展的托管服务中的一个漏洞,该漏洞主要影响Linux服务器,攻击者利用这种漏洞可以访问云服务器,该研究人员于1月底向微软报告了该问题。
有趣的是,微软的网络安全产品在2021年全年的营业收入恰好是这家爆出微软安全漏洞的Palo Alto Networks年平均营收的3倍。
这次漏洞是全球研究人员今年在Microsoft Azure产品中发现的若干安全漏洞之一,此前Azure的安全漏洞大多分布在Azure数据库PostgreSQL服务器、Azure Automation服务、云数据库Azure Cosmos DB、开放管理基础架构 (OMI) 软件代理以及Azure App Service中。有的可导致攻击者完全控制Azure客户的数据,有的可能让恶意用户绕过身份验证后获得对客户数据库的访问权限,有的以2组漏洞组成。
在过去18个月中,微软也经历了一些重大的在线服务中断。
6月14日,在“补丁星期二”中,微软发布了2022年6月份的月度例行安全公告,修复了多款产品存在的56个安全漏洞。受影响的产品包括:Windows 11(28个)、Windows Server 2022(29个)、Windows 10 21H2(29个)等等,覆盖了.NET and Visual Studio、Microsoft Office and Office Components、Microsoft Edge (Chromium-based)等组件,总计中危漏洞1个、高危漏洞51个、严重漏洞3个。
引人关注的是,本次微软终于发布了对“Follina”的修复,这是Microsoft Windows 中一个被黑客积极利用的零时差漏洞。据外媒报道,Follina零时差漏洞最初于4月12日被标记给微软。然而,一位名叫Crazyman的安全研究人员在推特上表示,微软最初将该漏洞标记为非"安全相关问题"。
最近几年来,总有安全专家指责微软在修复关键漏洞上耗时太长,总需要5、6个月的时间,且先后会发布若干补丁,6个月的时间标准换在2017年都让人难以接受。同样引发专家不满的,还有微软在回应漏洞报告时的透明程度和反应速度。
种种迹象表明,微软的安全漏洞修复能力在诸多网络安全考验面前,显得有些疲软。
不过,微软全渠道事业部CTO徐明强博士告诉界面新闻,虽然实际通过数据看到Windows每年的漏洞总比其他的操作系统多,但这是因为黑客攻击Windows有很高利润,因此Windows会被黑客锁定。微软在服务大量企业客户时,希望企业通过使用平台设备和生产力工具中内置的本地安全功能,以简化企业应对安全挑战的方法。
“当前企业的安全防御形成了一个怪圈,几乎所有的云现在都有一个混合的情况,复杂性不断提升,使得企业经常被动防御,防御的成本越来越高,人员也很短缺。”在徐明强看来,科技巨头要避免把安全管理搞复杂,否则会引来黑客更热情的攻击性。想方设法提升对于运营环境的可见性和洞察力,简化安全管理使用复杂度,是更好的安全防御策略。
另一方面,全球云安全初创公司们正在迎来自己的黄金年代。
基于近年微软的很多安全漏洞是由Wiz的研究人员披露,这家2020年才成立的以色列云安全公司估值去年一度被推高至60亿美金,其同行Orca Security和Lacework等云安全初创的估值也在资本市场水涨船高。Orca Security今年亦曾数次向微软通报安全漏洞。
网络安全咨询公司Momentum的2022年网络安全年鉴显示,与上一年相比,2021年的全球网络安全市场总资金增长了138%,涉及1,000多笔交易的风险资本融资从124亿美元增加到293亿美元。这几乎相当于2018-2020年宣布的投资总和(303亿美元)。
其中,超过1亿美元的投资有82项,有超过30家公司宣布获得独角兽地位。
今年年初,微软就曾与谷歌就一笔云安全公司的巨额收购展开争夺,对象是主业为托管服务解决安全漏洞的Mandiant,在谷歌收购这家公司一月之前,微软就曾与之讨论收购事项,但最终以失败告终。不过,去年仅一年,微软就收购了多家不同赛道的头部安全公司,包括RiskIQ、CloudKnox Security和ReFirm,彰显出了巨头对安全领域的重视。徐明强告诉界面新闻,收购CloudKnox对微软非常重要,这家公司可以帮助微软提升客户管理在多云环境当中的权限,在平台、设备、用户、服务数量成倍增长时,能保护所有平台。
徐明强认为,现在企业安全防御的一大痛点是在多云世界中缺乏不断变化的身份和权限,缺乏可见性和控制力。“微软如今在安全领域的收入增速很快,现阶段会专注于帮助客户进行全方位、更立体的安全防护。”
去年年底,为迎接网络安全新挑战,微软挖来了前亚马逊高管贝尔,担任新成立的安全、合规、身份与管理部门,该部门员工预计将超过1万人。微软网络安全团队表示,公司将在下一个五年期间继续加大对网络安全业务的投入,预计花费在客户安全保护方面的资金将达到200亿美元。