制造问题,收保护费?微软网络安全霸主地位的“阴暗面”
2022-03-27
来源:互联网安全内参
前美国政府网络安全高官撰文,指责微软公司在一边制造网络安全问题,一边设法解决这些问题,并从解决的过程中获利;
即使像美国联邦政府这样的巨无霸甲方,面对垄断地位的乙方,也只能被“锁定”。面对这一形势,该如何破局呢?
本文作者Andrew J. Grotto,曾担任美国国家安全委员会前网络安全政策高级主管,《安全内参》社区全文编译如下。
今年2月,微软公司发布一项名为“现代日志管理计划”(Modern Log Management Program)的网络安全服务。该服务主要面向联邦政府客户,可提供一套微软公司开发的可视化工具和修复工具,帮助客户从不同的微软产品中抽取诊断数据,以便更深入地了解自己网络上正在发生的事件。
微软公司声称,“现代日志管理计划”旨在帮助美国联邦行政部门,达到管理与预算办公室(OMB)2021年8月在M-21-31备忘录中制定的网络安全事件日志记录要求。微软承诺以折扣价格向客户推广“现代日志管理计划”,联邦行政部门因而能够“缓解M-21-31备忘录要求增加日志源及日志存储带来的预算压力”。
从表面上看,微软以折扣价格提供新的网络安全服务无异于是在做义务劳动。但仔细斟酌M-21-31备忘录出台的背景,以及微软公司在联邦信息技术领域独一无二的地位就可以看出,这家公司实际上是在一边制造网络安全问题,一边设法解决这些问题,并从解决的过程中获利。
日爆事件催生网络安全要求
管理与预算办公室注意到,“包括SolarWinds网络攻击在内的多起网络安全事件越来越凸显出,政府可见性在事件发生前、事中和事后的重要性。”因而在M-21-31备忘录中制定了相关要求。
SolarWinds事件是2020年12月曝光的。当时,美国网络安全公司火眼(FireEye)宣布发现一起俄罗斯网络间谍活动,并将其称为“SolarWinds”攻击事件。事实上,SolarWinds是一家软件厂商的名字,Orion网络监控软件是其代表产品。
有俄罗斯政府背景的黑客于2019年某个时候侵入了该公司的软件研发系统,并在某个软件更新包中植入恶意代码——此类网络攻击被称为“供应链攻击”。SolarWinds的客户只要安装更新,隐藏其中的恶意代码就会给俄罗斯黑客建立一个“桥头堡”,使其能够更深地入侵SolarWinds客户的网络并窃取其中的秘密。
SolarWinds攻击事件还有两个不太知名的名字,即“诺事件”(Nobelium)和“日爆事件”(SUNBURST,下文将以此代称SolarWinds攻击事件)。这起被认定为“供应链攻击”的网络安全事件要求攻击者拥有周密的策划和极大的耐心,其受害者范围很广,既包括美国联邦机构、州和地方政府部门,也涉及大学以及大批世界500强公司(如思科、英特尔和微软),所以被大部分网络安全专家列为至今为止最严重的网络安全事件之一。
“日爆事件”应该为俄罗斯政府带来了大量宝贵情报,但其操控者并未因此停下为其升级的脚步:他们仍在不断地运用自己的技巧,以期躲过监测并执行更进一步的攻击。
同样角色,不同命运
SolarWinds vs 微软
如果说SolarWinds被大多数人认为是攻击者入侵的主要入口的话,微软则是引导攻击者进入日爆事件众多受害者网络的“敲门砖”。攻击者侵入安装有Orion软件的网络后,通常会利用微软云产品或微软365产品中存在的漏洞侵入更多的IT系统(比如受害者的云账户),并对入侵痕迹进行隐藏。
日爆事件中,有三分之一的受害者并未使用Orion软件,但仍被攻击者以不同手段入侵。侵入后的攻击者同样会利用微软365产品中存在的漏洞执行更深层次的入侵,并在受害者网络系统中进行横向移动。
大西洋理事会研究人员对日爆事件进行全面分析后认为,“正是上述帮助攻击者侵入目标系统云服务的横向移动,以及对微软公司身份认证服务的不法使用,使得(日爆事件)已不仅仅是一起大规模软件供应链攻击,而且成为俄罗斯操纵的成功的大范围网络情报活动。”
日爆事件过去一年后,SolarWinds和微软两家公司走上了截然不同的命运之路。
事件中大约70%的受害者由于使用SolarWinds公司的Orion软件而引狼入室,该公司因此付出了沉重代价,不仅内部网络安全措施倍受责难,整体经营活动也磨难重重。
受日爆事件影响,SolarWinds公司的业绩用一落千丈来形容毫不为过——其业务流水账减少4000万美元,投资者至今仍被告知,日爆事件“将对2021年及之后的营收、利润和现金流产生负面影响”。尽管实施了两股换一股的反向股票分割并向股东派发了特别股息,但公司股票自去年此时起暴跌40%的局面仍无法挽回。SolarWinds的竞争对手趁机抢占市场份额,宣称自己的产品安全且易上手(替代SolarWinds公司的产品)。“客户可以在不耽误时间、不花费额外资金而且没有操作经验的情况下,很容易地使用我们的产品,”其中一家竞争公司在广告中为自己的产品吹嘘称。
相反,微软公司却在日爆事件中逆势而起。今年以来其股票价格大涨40%,与SolarWinds公司形成了鲜明对比。公司营收也创造了自2018年以来的最快增速,同比增长22%。
微软产品“带病”上场,
愈发严重
尽管2021年的微软公司在经营收入方面所获颇丰,但在网络安全方面却遭遇了诸多麻烦。
首先是微软Exchange Servers中零日漏洞的曝光。2021年3月,网络安全博主Brian Krebs指出,Exchange Server存在多个零日漏洞,可能被别有用心者通过远程控制实施大规模网络攻击。微软公司公开宣布上述漏洞前后,受害者数量就超过了6万。一周后,微软公司针对Windows系统发布更新,对82个安全问题进行修补,其中10个被公司标记为“高危”(包括一个涉及IE浏览器的严重安全漏洞)。
2021年6月,微软公司针对另外6个已被攻击者发现并利用的零日漏洞发布更新补丁。7月,针对PrintNightmare漏洞发布紧急更新。该漏洞存在于Windows Print Spooler服务中,可被攻击者利用来获取系统的完整控制。微软的霉运仍在持续。8月,一组研究人员宣布在Microsoft Exchange使用的Autodiscover协议中发现设计缺陷,可被攻击者用来采集Windows域账号凭据。另一组研究人员则发现了一个更严重的漏洞——可用来“完全无限制地登陆数千家Microsoft Azure客户的账户及数据库”。
9月的日子更艰难。微软公司先是宣布发现一个能够影响MSHTML(IE和Microsoft Office的软件组成)的远程代码执行漏洞。紧接着又发布了三个针对零日漏洞的补丁程序。这三个漏洞均被标记为“高危”,攻击者可通过它们对系统实施入侵。9月末,研究人员发现了日爆事件操盘手在系统中植入的恶意软件,这款被称为FoggyWeb的恶意软件,可用来窃取用户的配置数据库以及安全令牌证书。
2021年10月,微软公司声称已告知140多家微软产品的第三方零售商和服务提供商,日爆事件的操盘手已经把他们列为目标。实际上,截至2021年10月,已发现其中14家遭到入侵。
不得不承认,2021年对整个网络安全界来说都是困难的一年。研究显示,该年度的数据泄露事件数量一路走高,到9月时已超过2020年的全年水平。勒索软件攻击事件也是如此。2021年发现的零日漏洞数量也创下新高,仅在“在野”攻击发生后发现的就有58个,比2020年全年发现的数量翻了一番。其中在微软产品中发现的多达21个(最多)。苹果、谷歌和其他公司的产品中也有发现。
相比SolarWinds,
微软的客户地位更强势
实际上,SolarWinds公司的客户中有很大一部分愿意再给该公司一次机会——数据显示,SolarWinds公司的客户并非全部都转而使用了竞争对手的类似服务。2021年2月,公司首席执行官Sudhakar Ramakrishna对投资人表示,“我走访的很大一部分客户很清楚,针对我们以及其他公司的网络安全事件会发生在任何公司身上,特别是像SolarWinds这样布局广泛的大型公司更容易受到攻击。”
确实,SolarWinds的客户有两个可选项:原谅及放弃。数字产品不会决定世界的存亡,即使明天消失,这个世界也会正常运行。比如,Facebook公司及其多个应用程序曾遭遇宕机危机,致使30多亿民众丧失了联络手段。危机虽然给很多人造成不便,但那绝不是世界末日——还有很多其他完好无损的通讯手段可以选择。
同理,SolarWinds的客户可以在日爆事件后选择先关闭Orion软件,然后或者彻底终止其使用(2020年12月后确实有部分客户这么做),或者在安装了安全补丁之后恢复使用(包括联邦政府机构在内的其他客户的选择)。不过,如果SolarWinds再遭受一次网络安全事件,恐怕就不会那么容易得到客户的谅解了。
相比之下,微软公司则在客户面前处于一个比较强势的地位。只要后者的IT设施以微软产品为基础搭建起来,再想转而使用其他公司的产品就会非常困难。即使最终转换成功,也会存在崩溃的潜在可能,或付出巨大的努力和代价。
如果客户更换产品的可能性很小(因转换成本太高或没有实际可用的替代产品造成),软件商就会把更多风险转移到他们身上。换句话说,客户在某种程度上被“锁定”了。
“客户锁定”
让微软不再担心市场竞争
毫无疑问的是,微软公司网络安全人员2021年度的工作异常勤奋——人们不应该质疑他们为保护客户免受恶意软件攻击而做出的努力。因此在2021年8月,公司与其他科技巨头一起参加白宫峰会时,有信心宣布将对联邦政府的网络安全提供更多支持。
微软的决定是受欢迎的。但系统网络安全协会(SANS Institute)新兴安全趋势主管John Pescatore却对此不以为然。他认为,微软公司的网络安全承诺“有点像特斯拉公司组建了一个数字犯罪应对小组,专门抓捕利用特斯拉车门无法锁闭而偷车的窃贼”。另外,更换软件提供商也可以用换车来比喻。如果换车成本太高,放弃特斯拉转而购买其他公司的车辆就不那么现实了。一些客户可能就会另无选择地接受车辆可能被偷盗的风险。所以,“客户锁定”是“胜者全拿”网络效应的阴暗面。这种阴暗面在软件市场上确实存在,对网络安全是不利的。
“胜者全拿”效应最直观的体现是这样的,即客户越多,某个软件产品的价值就越高。以协作平台为例。对单一用户来说这个平台并没有多大用处。但随着用户的增多,平台的价值就会水涨船高,反过来吸引来更多用户。这一理论通常会让软件公司感受到压力。后者因此会设法迅速抢占市场份额,希望能够触发上述网络效应以便帮助自己形成对市场的主导。
软件行业内有一句俏皮话来调侃这种急功近利的做法,即“周一发布,周二给补丁”。也就是说,一款高性能软件即使存在安全隐患,也会被公司立即推出以抢占或保护市场份额,而不是推迟发布,等待安全性得到进一步完善后才发布。到那时,用户是不会因为安全性高而对它另眼相看的。
“胜者全拿”效应让用户转而使用其他软件提供商的产品变得非常困难。比如,如果某用户选择产品的部分原因是其他用户也在使用它,那么转而使用其他软件提供商产品的决定可能一举成功,也可能一败涂地——取决于其他用户是否也会冒险转用同款其他软件。
另外,转用其他软件提供商产品的成本和风险是巨大的。其成本不仅包括新软件的购买费用,还有更换软件耗费的工作时间、用户在适应新软件过程中导致的工作效率降低以及用户和技术支持人员的培训等。风险也是显而易见的,包括但不限于更换软件对某些持不同意见者工作热情形成的打击,以及转换未按计划顺利完成对业务活动构成的扰乱,等等。
打折或免费安全服务
更像钓鱼
再来看一下联邦政府机构。微软公司的Windows操作系统在联邦政府机构内的应用非常普及,Office办公软件在政府机构内所占份额更是高达85%。
换句话说,微软公司已经在某种程度上“锁定”了政府客户——如果IT部门围绕某件产品搭建本机构的业务处理系统(正如联邦政府机构大范围使用Windows操作系统和Office 办公软件那样),那么对这个系统进行更换就成为一件得不偿失的事情。即使看出了风险苗头,惯性也会让人们安于现状,让改变难上加难。
在过去的一年中,微软公司的某些做法引起了用户的不满。比如,该公司曾准备就Microsoft 365 产品的基础安全服务(例如事件记录)向联邦政府机构收取费用。很显然,公司做这个决定的时候并没有把面临的竞争压力看在眼里(很大一部分原因是“客户锁定”让他们不担心客户流失)。但后来因为议员们抱怨服务价格太高,而且微软公司向用户收取费用来保护本公司产品安全有点不太像话,所以微软最终决定向联邦政府客户提供一年的免费使用期。
有报道称,该公司最近又做了一件让人吐槽的事情,即告知其商业伙伴,如果不把按月订购的服务改成按年订购的话,公司就将在2022年把他们使用的Office产品价格提高20%。CNBC记者Jordan Novet认为,微软公司的做法是典型的“运用其在办公软件市场上的主导地位,强迫部分Office用户在付出更多费用与增加订购时长之间做选择”。此前,微软已宣布大幅提高Microsoft 365产品的价格。
事实上,价格并非微软公司与其用户讨价还价的唯一砝码,他们还可以在产品性能上做做文章——从默认的基础配置到高级别的优化配置,应有尽有。但享受什么样的服务(包括安全服务)就要付出什么样的价格。简单地说,微软这样的软件提供商会建立一种价格促销机制。价格越低,享受的安全服务就越少;反之则越多。这是一种变相提高价格的手段。建立在上述机制基础上的微软安全服务业务价值高达150亿美元。日爆事件后,微软公司曾试图在联邦政府机构用户身上应用这套机制。
建立安全服务的提供标准可以在一定程度上解决软件公司的“贪婪”问题。也就是说,公司应该按照标准向用户提供某种安全服务,否则会触发用户或制度的强烈抵制。但这里同样有一个无法解决的困境,那就是联邦政府机构或者其他部门用户早已被微软公司“锁定”,除了使用该公司提供的安全服务几乎别无选择。
微软公司对很用户的“锁定”让自己在谈判中拥有优势,用户不太可能强烈要求公司提供更多安全服务。从这个角度说,微软公司向政府免费提供一年安全服务的决定更像一个鱼饵——一旦政府机构接受就再也无法回头,即使微软开始对其服务收取费用。