(示意圖/取自pixabay)
一直計劃網路安全升級的微軟,解決安全漏洞的時間正在變長。
據《The Information》報導,全球市值最高的IT安全公司Palo Alto Networks的研究人員稱,在6月中旬,微軟修復了其Azure平台拓展的托管服務中的一個漏洞,該漏洞主要影響Linux伺服器,攻擊者利用這種漏洞可以訪問雲端伺服器,該研究人員於1月底向微軟報告了該問題。
有趣的是,微軟的網路安全產品在2021年全年的營業收入,恰好是這家爆出微軟安全漏洞的Palo Alto Networks年平均營收的3倍。
這次漏洞是全球研究人員今年在Microsoft Azure產品中發現的若干安全漏洞之一,此前Azure的安全漏洞大多分布在Azure數據庫PostgreSQL伺服器、Azure Automation服務、雲端數據庫Azure Cosmos DB、開放管理基礎架構 (OMI) 軟體代理以及Azure App Service中。
有的可導致攻擊者完全控制Azure客戶的數據,有的可能讓惡意用戶繞過身份驗證後獲得對客戶數據庫的訪問權限,有的以2組漏洞組成。
在過去18個月中,微軟也經歷了一些重大的線上服務中斷。
6月14日,在「補丁星期二」中,微軟發布了2022年6月份的月度例行安全公告,修復了多款產品存在的56個安全漏洞。
受影響的產品包括:Windows 11(28個)、Windows Server 2022(29個)、Windows 10 21H2(29個)等等,覆蓋了.NET and Visual Studio、Microsoft Office and Office Components、Microsoft Edge (Chromium-based)等組件,總計中危漏洞1個、高危漏洞51個、嚴重漏洞3個。
引人關注的是,本次微軟終於發布了對「Follina」的修復,這是Microsoft Windows中一個被駭客積極利用的零時差漏洞。
據外媒報導,Follina零時差漏洞最初於4月12日被標記給微軟。然而,一位名叫Crazyman的安全研究人員在推特上表示,微軟最初將該漏洞標記為非「安全相關問題」。
最近幾年來,總有安全專家指責微軟在修復關鍵漏洞上耗時太長,總需要5、6個月的時間,且先後會發布若干補丁,6個月的時間標準換在2017年都讓人難以接受。同樣引發專家不滿的,還有微軟在回應漏洞報告時的透明程度和反應速度。
種種跡象表明,微軟的安全漏洞修復能力在諸多網路安全考驗面前,顯得有些疲軟。
不過,微軟全渠道事業部CTO徐明強博士告訴界面新聞,雖然實際通過數據看到Windows每年的漏洞總比其他的操作系統多,但這是因為黑客攻擊Windows有很高利潤,因此Windows會被駭客鎖定。微軟在服務大量企業客戶時,希望企業通過使用平台設備和生產力工具中內置的本地安全功能,以簡化企業應對安全挑戰的方法。
「當前企業的安全防禦形成了一個怪圈,幾乎所有的雲端,現在都有一個混合的情況,複雜性不斷提升,使得企業經常被動防禦,防禦的成本越來越高,人員也很短缺。」在徐明強看來,科技巨頭要避免把安全管理搞複雜,否則會引來駭客更熱情的攻擊性。想方設法提升對於營運環境的可見性和洞察力,簡化安全管理使用複雜度,是更好的安全防禦策略。
另一方面,全球雲端安全新創公司們正在迎來自己的黃金年代。
基於近年微軟的很多安全漏洞是由Wiz的研究人員披露,這家2020年才成立的以色列雲端安全公司估值去年一度被推高至60億美金,其同行Orca Security和Lacework等雲端安全新創的估值,也在資本市場水漲船高。
Orca Security今年亦曾數次,向微軟通報安全漏洞。
網路安全諮詢公司Momentum的2022年網路安全年鑒顯示,與上一年相比,2021年的全球網路安全市場總資金成長了138%,涉及1,000多筆交易的風險資本融資從124億美元增加到293億美元,這幾乎相當於2018到2020年宣布的投資總和(303億美元)。
其中,超過1億美元的投資有82項,有超過30家公司宣布獲得獨角獸地位。
今年年初,微軟就曾與Google就一筆雲端安全公司的巨額收購展開爭奪,對象是主業為托管服務解決安全漏洞的Mandiant,在Google收購這家公司一月之前,微軟就曾與之討論收購事項,但最終以失敗告終。
不過,去年僅一年,微軟就收購了多家不同賽道的頭部安全公司,包括RiskIQ、CloudKnox Security和ReFirm,彰顯出了巨頭對安全領域的重視。
徐明強告訴界面新聞,收購CloudKnox對微軟非常重要,這家公司可以幫助微軟提升客戶管理在多雲環境當中的權限,在平台、設備、用戶、服務數量成倍成長時,能保護所有平台。
徐明強認為,現在企業安全防禦的一大痛點是在多雲世界中缺乏不斷變化的身份和權限,缺乏可見性和控制力。「微軟如今在安全領域的收入成長速度很快,現階段會專注於幫助客戶進行全方位、更立體的安全防護。」
去年年底,為迎接網路安全新挑戰,微軟挖來了前亞馬遜高管貝爾,擔任新成立的安全、合規、身份與管理部門,該部門員工預計將超過1萬人。
微軟網路安全團隊表示,公司將在下一個五年期間繼續加大對網路安全業務的投入,預計花費在客戶安全保護方面的資金將達到200億美元。
本文為界面新聞授權刊登,原文標題為「網絡安全業務異軍突起,微軟修復漏洞的速度卻變慢了」