微软公司的网络安全业务已异军突起。数据显示,其网络安全产品2021年营收创纪录地超过150亿美元(折合人民币954亿元),是最大专业安全公司Palo Alto Networks年营收的三倍;
为迎接网络安全新挑战,微软于2021年末挖来前亚马逊高管查理・贝尔,负责新成立的安全、合规、身份与管理部门,预计该部门员工将超过1万人;
微软CEO纳德拉表示,为旗下产品植入安全要素是公司最基本的责任,同时也不会放弃网络安全这一利润点;
对此外界也提出了质疑,微软一边发布带有安全漏洞的软件,另一边兜售保护软件免遭网络威胁的安全服务,集网络安全救火队员、监测者以及漏洞软件编写者等角色于一身,定位争议很大。
二十年前,微软优秀安全工程师米歇尔・霍华德(Michael Howard)和戴维・勒布兰科(David LeBlanc)撰写的《编写安全代码》一书被软件开发人员奉为圭臬。比尔・盖茨也深受影响。掩卷沉思后,他决定变革微软软件编写方式,把安全性和可靠性列为首要追求目标。
“我们的软件最终要从根本上对安全性做出保证,让用户永不为此感到焦虑,”他说。
承诺落空,
网络安全成重要赢利点
二十年过去了,盖茨的承诺成了竹篮打水。微软人发现自己身处的网络环境已充满威胁,与二十年前截然不同——勒索软件、供应链攻击、隐私漏洞、有国家背景的黑客、恶意程序、蠕虫病毒以及充满敌意的机器学习等等,无时无刻不再动摇着网络安全的根基。
微软出品的软件远未能达到盖茨向往的安全标准。仅上个月,微软公司就为其Windows操作系统及其他产品发布了近120个漏洞补丁,其中9个被标注为“重要”。最严重的一个漏洞被归类为“可像蠕虫般自我复制”,攻击者抓住它,就可以在不做任何干预的情况下启动连锁反应,把恶意程序从一台计算机传播到其他有漏洞的计算机。
外界普遍认为,微软是目前诸多网络问题和网络威胁的最根本原因——用户往往会因为使用了微软软件而遭到攻击,其中大部分用户对微软安全服务的体验感非常糟糕。“他们只知道发布补丁,”前微软技术顾问、安全技术公司Polyverse首席执行官阿历克谢・冈纳雷斯(Alex Gounares)说。不过人们依然对微软公司持有信心,认为该公司拥有应对网络安全威胁的核心技术。公司上下也正为此而努力。
不过,微软目前面临的需求已不仅仅是编写安全代码了。鉴于日益严峻的网络威胁,该公司已致力于构建全面的网络安全业务,承诺无论客户使用的是哪家公司提供的软件和服务,都会向其提供网络安全软件与服务。
目前,微软公司的网络安全业务已异军突起。根据上周发布的财务报告,该公司的网络安全产品在过去一年的营业收入比上一年度增加45%,创纪录地超过150亿美元,占同期公司总收入的8%,是市值最高的IT安全公司Palo Alto Networks年平均营收的三倍。
高调宣称“为责任不为赚钱”,
未来将加大安全投入
既然网络安全业务利润如此之大,微软还要不要继续承担产品售后服务,为不断发现的漏洞提供补丁程度呢?换句话说,未来的微软是更看重肩上的网络安全责任,还是希望通过提供网络安全服务赚更多钱呢?
德意志银行分析师布莱德・泽尔尼克把这个问题抛给了微软公司首席执行官萨蒂亚・纳德拉(Satya Nadella)。后者高调宣称,微软公司最基本的责任之一,就是在自己的产品中植入安全要素,而非利用日益猖獗的网络威胁赚取更多利润。“我们很看重这个责任,”他说。
但同时他还声称,微软也不会放弃网络安全业务这一利润点。“我们认为这是一个机会,一个让所有数字用户得到安全保障的机会。”他解释说,构成这个世界的基础设施并不只是微软一家公司提供的,还有其他很多公司的各种平台。“我们将向他们提供安全解决方案并收取费用,这才是我们的赢利点。”
微软网络安全团队则表示,公司将在下一个五年期间加大对网络安全业务的投入,推动相关技术、工具和团队能力的提高。预计花费在客户安全保护方面的资金将达到200亿美元。
新高管新部门,
微软为迎接新挑战做好准备
不可否认,保护软件和网络安全已成为微软及其他公司面临的最具挑战性的工作之一。为应对不可预知的未来,微软已开始有所动作——首先对公司内部的原有设置进行整合,成立新的安全、合规、身份与管理部门(Security, Compliance, Identity, and Management Organization)。预计该部门员工将达到1万人,占微软员工总人数(约20万人)的5%,主要职责是安全产品和服务的研究与发布。需要指出的是,新部门将主要从战略层面上对网络与软件安全工作做指导,具体产品的安全内核仍由产品团队内设的安全小组负责。
领导安全、合规、身份与管理部门的高级管理人员也是一名刚刚从亚马逊公司挖来的新人——查理・贝尔(Charlie Bell)。现年64岁的贝尔在亚马逊公司工作超过23年,长期担任该公司负责网络服务的高级副总裁。2021年10月,转任正职无望的贝尔接受了微软的邀请,出任微软公司高级副总裁,负责安全、合规、身份与管理部门的业务。
微软新任高级副总裁查理・贝尔(图片来源:微软)
他的下属包括首席信息安全官布莱特・阿森诺特(Bret Arsenault)、微软身份认证部门副经理乔伊・奇克(Joy Chik)、云安全部门副经理巴拉特・沙(Bharat Shah)等高级管理人员及其团队。此前,上述三人皆在负责云平台与人工智能业务的高级副总裁斯科特・古瑟利(Scott Guthrie)领导下工作。
“接下来,公司以及公司所在的整个行业都将面对一个巨大的挑战,即保证数字技术平台、设备和云服务的安全。这是我们必须承担的伟大任务,也是吸引查理来微软的原因,”微软CEO纳德拉通过内部邮件宣布查理・贝尔的任命时说。贝尔对此回应称,自己之所以加入微软,正是感受到了新挑战的激励。“我将迎接挑战,努力把世界从‘野蛮的中世纪数字时代’带到‘文明的数字时代’。”
亚马逊公司的老同事评价贝尔是一个“务实的领导者”,会“为了解决问题或寻找解决问题的机会废寝忘食”。微软公司内外的分析人士也认为贝尔是位“值得尊敬的领教者”,他的新眼光和新任命或许可以给公司以及整个网络安全行业带来前所未有的变化。
确定五大工作重点,
但仍存在需要解决的问题
在安全、合规、身份与管理部门之外,微软公司还设立有“数字犯罪调查小组”(Digital Crimes Unit),专门追踪并记录僵尸网络、勒索软件及其他网络犯罪活动,并致力于维护选举的公平性。微软公司在声明中称,之所以在内部设立多个网络与软件安全维护部门,皆因自己正身处一场史无前例的非对称战争之中——网络敌人的攻击过于强大,抵抗者被迫步步为营。
微软公司提供的数据显示,自2020年下半年SolarWinds公司遭到软件供应链攻击后,勒索软件攻击次数增加了150%,2021年钓鱼软件攻击数量增加600%以上,密码攻击频率增加到每秒钟579次。“网络攻击形势异常严峻和复杂,所以我们应该做点什么,”微软公司高级副总裁瓦苏・亚卡尔(Vasu Jakkal)说。
在此背景下,微软为接下来的安全工作确定了五大重点:
1. 从设计开始就将软件、云服务、计算机固件和硬件的安全因素纳入考虑;
2. 全面应用“零信任”策略。基于“所有网络活动均有漏洞”的假设,把访问请求的数量限制到最小,同时对用户身份进行绝对准确的验证;
3. 为使用其他公司云服务、计算平台和第三方应用软件的用户提供全方位保护;
4. 应用人工智能和自动化技术对网络威胁进行分析和监测;
5. 与其他网络安全公司展开密切合作。
尽管微软对本公司的安全业务充满信心,但外界仍对其提出了疑问。首先是该公司角色的定位。微软公司既是软件的编写者,又是安全产品和服务的提供者,在同行竞争者眼中扮演着“两边通吃”的角色。“(微软)一只手发布带有安全漏洞的软件,另一只手又向用户提供保护软件免遭网络威胁的安全服务。微软集网络安全救火队员、监测者以及漏洞软件编写者等角色于一身,很容易让人怀疑卖了矛又卖盾,”国家网络安全联盟董事会成员莱恩・卡勒姆伯(Ryan Kalember)说。微软公司也承认自己身份的特殊性,但具体如何解决却又一时没有合适的办法。
其次是收费问题。尽管微软CEO声称“责任第一,赚钱第二”,但该公司提供的先进安全解决方案价格之昂贵令人乍舌。“为取得微软安全解决方案的使用执照,公司用户必须付出惊人的费用,”独立分析师韦斯・米勒(Wes Miller)说。“很多用户会因不愿意或没有能力支付这笔费用而不得不远离微软方案。”他批评微软公司“眼睛只盯着钱”,在应对勒索软件等网络威胁方面还做得远远不够。前微软公司高级网络威胁情报分析师凯文・比奥蒙特(Kevin Beaumont)也认为,微软安全解决方案的收费过高,致使一些小型公司被迫在网络上“裸奔”。“事实上,我们不应该在网络安全方面划出一条贫富线来。”
参考来源:https://www.geekwire.com/2022/former-amazon-exec-inherits-microsofts-complex-cybersecurity-legacy-in-quest-to-solve-one-of-the-greatest-challenges-of-our-time/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
