微軟因「明顯的疏忽」資安作法而受到抨擊
微軟近期在 Azure 遭受攻擊事件後,面臨越來越多的批評聲浪。資安公司 Tenable 的執行長阿米特·約蘭(Amit Yoran)在 LinkedIn 上的一篇文章中表示微軟的資安紀錄比想像的還要差,並且他還提供了一個實例來支援這一點。
今年 7 月 12 日,微軟披露了一個針對其 Azure 平臺的重大入侵事件,並追蹤到了一個被稱為 Storm-0558 的中國駭客組織。此次攻擊影響了約 25 家不同的組織,並導致美國政府官員的敏感電子郵件被盜取。
上週,俄勒岡州民主黨參議員羅恩·懷登(Ron Wyden)致信美國司法部,要求對微軟的「疏忽的資安作法」予以追究。約蘭在他的文章中進一步補充了對參議員陳述的意見,指出微軟體現了「一連串的疏忽資安行為」,使中國駭客得以間諜美國政府。他還透露了 Tenable 在微軟 Azure 中發現的另一個資安漏洞,並表示該公司花費太長的時間來解決這個問題。
微軟的資安作法受到質疑
Tenable 最初在三月份發現了這個漏洞,並發現它可能使惡意角色獲得公司的敏感資料,包括銀行的資料。約蘭聲稱,微軟在 Tenable 通知該公司後「花了超過 90 天的時間來實施部分修復」,並補充說該修復只適用於「在服務中載入的新應用程式」。根據約蘭的說法,該銀行和所有其他「在修復之前啟動了該服務」的組織仍然受到這個漏洞的影響,並且很可能對這種風險毫無察覺。約蘭表示微軟計劃在九月底之前修復這個問題,但他將延遲的回應視為「極度不負責任,甚至可以說是明顯的疏忽」。
約蘭還指出,根據 Google 的 Zero 計劃(Project Zero)提供的資料,自 2014 年以來,微軟的產品佔據了 42.5%的所有發現的零日漏洞。他在文章中寫道,「我們從微軟那裡聽到的是『只需相信我們』,但實際得到的卻是極少的透明度和一種具有有害含義的文化。」他問道,「在事實和現行行為的背景下,CISO、董事會或執行團隊如何能相信微軟會採取正確的行動呢?」
微軟面臨多次資料遭泄露事件
最近,微軟涉及了多起資料被盜事件,其中包括聞名全球的 SolarWinds 入侵,影響了美國政府機構以及由於微軟 Exchange Server 軟體中的缺陷而受到的 30,000 多個組織的攻擊。美國政府將會強制要求企業對於資安問題更加公開,根據美國證券交易委員會的新規定,企業需要在發現入侵後的四天內披露入侵事件。
微軟高級總監傑夫·瓊斯(Jeff Jones)在對 The Verge 的郵件回應中對約蘭的批評做出了回應:「我們感謝與資安社區的合作,以負責任地披露產品問題。我們遵循了一個廣泛的流程,其中包括進行詳盡調查,針對受影響產品的所有版本進行更新開發以及與其他作業系統和應用程式進行相容性測試。最終開發資安更新涉及時效性和質量之間的微妙平衡,同時確保最大化的客戶保護和最小化的客戶干擾。」
總結
微軟最近因其「明顯的疏忽」資安作法而受到廣泛批評。資安公司 Tenable 的執行長阿米特·約蘭對微軟提出指責,稱其資安紀錄更糟糕,並提供了相關的證據。約蘭指出,微軟長期以來體現了一系列的資安疏忽,並使得中國駭客得以監視美國政府。此外他還揭示了 Tenable 在微軟 Azure 平臺上發現的另一個資安漏洞。
這一事件引起了人們對微軟資安作法的深思。企業和政府對於微軟的資安策略和透明度提出了質疑。微軟作為全球著名的科技公司,應該加固其資安措施,並確保及時解決資安漏洞,以保護企業和使用者的資料安全。
對於企業和機構而言,保護資料安全是一項關鍵任務。它們應該始終保持警惕,及時更新和修補系統漏洞,並加固對員工的資安教育。此外企業應該考慮多層次的資安解決方案,例如使用威脅情報監控系統,建立強大的防火牆和入侵檢測系統以及定期進行資安漏洞測試。
延伸閱讀
- 微軟成功閃過英國反壟斷調查:Mistral AI 投資引發話題
- 歐盟警告微軟 或因未提供 GenAI 風險訊息而可能被處以數十億歐元的罰款
- 微軟將於下週在 Azure 上推出定製的鈷晶片
- 微軟將於七月推出手機遊戲商店
- 微軟和 OpenAI 啟動 200 萬美元基金以對抗選舉假影片
- 微軟禁止美國警方使用企業 AI 工具進行臉部辨識
- 微軟選擇與 Sanctuary AI 合作進行通用機器人研究
- 英國調查亞馬遜和微軟與 Mistral、Anthropic 和 Inflection 的 AI 合作關係
- 美國中國關係日益惡化:微軟支付 15 億美元給 G42
- 微軟和 Quantinuum 或帶領量子計算的下一個時代
