微软承诺在多次遭受黑客攻击后改进安全产品 - 彭博社
Andrew Martin
微软仍然是批评者的频繁目标,他们抱怨其软件容易出现缺陷,使其成为犯罪分子和国家黑客的频繁目标。
摄影师:Victor J. Blue/Bloomberg微软公司,因其在几起重大黑客攻击中的角色而备受打击,表示正在改变提供网络安全保护的方式,利用人工智能和其他方法加快公司对漏洞的响应速度,更好地保护客户。
在一篇博客文章中,三位微软高管表示他们“已经深思熟虑了我们应该如何预测和适应日益复杂的网络威胁。” 结果是承诺在三个工程领域取得进展:“转变”软件开发,实施新的身份保护措施和推动更快的漏洞响应,他们写道。
“最近几个月,我们在微软内部得出结论,网络攻击的速度、规模和复杂性的增加需要一种新的应对方式,”总裁布拉德·史密斯在一篇单独的帖子中写道。“这项新举措将汇集微软的每个部分,推进网络安全保护。”
微软主要以其面向企业和消费者的软件产品而闻名,总部位于华盛顿雷德蒙德的公司近年来已成为网络安全产品的最大提供商,这一业务年收入约200亿美元。与此同时,微软仍然是批评者经常抨击的对象,他们抱怨其软件容易出现缺陷,使其成为犯罪分子和国家黑客的频繁目标。
这些问题在今年早些时候再次出现,黑客使用窃取的消费者签名密钥伪造认证令牌,这些令牌用于验证用户身份。然后他们访问了用户电子邮件,来自大约25个组织,包括美国政府机构。受害者包括美国商务部长吉娜·蕾蒙多和国务院官员,他们的电子邮件在美国国务卿安东尼·布林肯与中国国家主席习近平会晤之前被访问。微软将黑客与中国联系在一起。
美国参议员罗恩·怀登于7月27日发表了一封激烈的信函,要求进行调查,随后不久,一个政府主导的网络安全咨询小组对云计算的风险展开了调查,其中包括对微软在电子邮件黑客事件中的角色进行审查。
“政府的电子邮件被窃取是因为微软又犯了一个错误,”俄勒冈州的民主党参议员怀登在他的信中说。“微软不应该拥有一个单一的万能钥匙,当它不可避免地被盗时,可以用来伪造访问不同客户的私人通信。”
网络安全公司Tenable Holdings Inc.的首席执行官阿米特·约兰也批评了微软,他在LinkedIn上在8月份表示,该公司的“缺乏透明度涉及到漏洞、不负责任的安全实践以及漏洞,所有这些都使他们的客户面临风险,而客户对此被蓄意隐瞒。”
微软的公告称为“安全未来计划”,此前联邦政府已表示,他们希望软件制造商承担更多保护其产品安全的责任。例如,网络安全与基础设施安全局局长詹·伊斯特利在二月份表示,糟糕的软件和不安全的实践正在促成勒索软件攻击,她表示一些微软和Twitter的安全协议的采用,如双因素认证,令人失望。
阅读更多:美国网络安全领导人敦促微软、Twitter提升用户安全性
此外,周一,美国证券交易委员会对总部位于德克萨斯州的SolarWinds Corp.提起了诉讼,指控该公司在一次软件被黑客攻击之前淡化了安全风险,该次网络攻击于2020年12月公开,俄罗斯政府支持的黑客在一款热门SolarWinds软件产品的更新中植入了恶意软件,当客户下载时,就会创建一个数字后门。
黑客利用这个后门进一步渗透了大约100家组织,包括美国政府机构,根据证券交易委员会(SEC)的说法。SEC诉讼的教训是,安全专业人员不应该掩饰他们所看到的问题,而应该更加透明地对待它们,CoinList的首席信息安全官、前Twitter安全负责人Michael Coates告诉彭博新闻。
微软的史密斯表示,公司致力于构建基于人工智能的网络安全屏障,以保护全球客户和国家。
“这些人工智能进步之所以如此重要,是因为它们能够解决世界上最紧迫的网络安全挑战之一,”他写道。“无处不在的设备和持续的互联网连接创造了一个庞大的数字数据海洋。”
“但是人工智能是一个改变游戏规则的因素,”他说。
此外,微软表示将利用基于人工智能的分析和其他措施来审计和保护代码免受高级威胁,并承诺在密码攻击增加、黑客开发出更复杂的方法窃取和使用登录凭证的时候加强身份保护。作为后一项倡议的一部分,微软表示将迁移到一个“新的、完全自动化的消费者和企业密钥管理系统,其架构旨在确保密钥即使在基础过程可能被损坏的情况下也保持不可访问。”
在今年早些时候批评微软时,伊斯特利表示,微软需要“重新捕捉”公司联合创始人比尔·盖茨在2002年所称的“值得信赖的计算”理念。当时,微软正受到计算机蠕虫的困扰,盖茨写了一份备忘录,要求软件开发人员优先考虑安全性。“我们可以而且必须做得更好,”他写道。