近年來經過一連串收購，微軟公司已經“內卷”成為一家網路安全巨頭，但是這個牽動千萬家企業客戶的科技巨頭自身的安全態勢和安全挑戰卻鮮為人知。

漏洞之王

在過去的幾年中，與微軟有關的漏洞和駭客攻擊的負面訊息不絕於耳。顯然，無處不在的微軟產品（及其中的漏洞）對於駭客來說是極具吸引力的攻擊媒介。根據美國網路安全和基礎設施安全域性（CISA）的一份報告，自2022年初以來，微軟已報告了238個網路安全漏洞，佔今年迄今為止發現的所有漏洞的30%。

2021年，美國國家安全域性（NSA）、FBI、CISA和CIA等主要機構釋出了駭客利用最多的15個漏洞和暴露（CVE）。其中，60%（9個）來自微軟設計、運營和擁有的系統，包括Exchange Server中的7個CVE。

尤其讓美國網路安全專家們感到焦慮的是，微軟在美國政府IT系統和辦公採購中佔據主導地位，市場份額高達85%，這意味著微軟面臨的駭客威脅，也是美國政府的安全挑戰。

微軟在2021年底再次成為頭條新聞，微軟警告客戶Azure雲平臺中央資料庫Cosmos DB的一個元件（視覺化工具Jupyter Notebook）存在配置錯誤，該元件預設啟用，導致資料暴露長達兩年。安全公司Wiz的一個研究團隊發現透過該漏洞能夠獲取數千家公司的資料庫的訪問金鑰。成千上萬依賴Azure Cosmos DB的客戶（包括埃克森美孚和可口可樂等知名企業）的資料庫面臨被未授權訪問、寫入或刪除的巨大風險。

由於微軟產品生態系統中不斷髮現駭客攻擊和漏洞，其他科技巨頭，如谷歌，已經在網路安全創新領域超越了微軟。最近，在Cloud Next ‘22活動中，谷歌釋出了一項快速漏洞檢測服務。該工具是Security Command Center Premium中的一項零配置服務，可檢測暴露的管理介面、弱憑據和不完整的軟體安裝等漏洞。

作為一家產品和客戶遍佈全球的科技巨頭，微軟的網路安全實踐存在哪些短板？微軟未來面臨（帶給我們）什麼樣的威脅？

脆弱的巨鯊

在過去的15年中，微軟在強化Windows核心方面取得了進展，Windows核心是駭客接管裝置的關鍵所在，微軟對可在核心模式下執行的系統驅動程式引入了新的嚴格限制，這被看作是微軟加固核心的關鍵舉措。

2019年2月，軟體公司SolarWinds遭到名為Nobelium的疑似國家駭客組織的軟體供應鏈攻擊。該組織獲得了對數千名SolarWinds客戶的網路、系統和資料的訪問許可權，從而導致了有史以來最大規模的駭客攻擊，根據事件的有關報道，微軟產品的漏洞大大增加了SolarWinds攻擊的破壞性。

前白宮網路政策主管安德魯·格洛託表示，此類攻擊的一部分原因在於遺留程式碼庫問題。

“微軟產品需要付出很多努力才能以正確的方式進行配置，並且由於此類配置問題，這些產品很容易受到利用。攻擊者越來越深入地滲透到受害者的網路中，並利用了微軟產品中的配置問題”格洛託說道。

壞訊息接踵而來，2021年3月，一群代號Hafnium的駭客利用微軟Exchange軟體的弱點，控制了大量企業伺服器並訪問敏感的公司和政府組織資訊。FBI甚至需要“黑入”數百臺美國企業的計算機伺服器才最終清除Hafnium惡意軟體。作為補救措施，2021年4月微軟一口氣釋出了114個關鍵漏洞的補丁。

2022年3月，微軟宣佈遭到犯罪駭客組織Lapsus$的入侵，後者入侵了一個微軟內部帳戶，能夠“有限地訪問”公司資料。然而，微軟否認該犯罪集團獲得了任何微軟客戶的資料。

微軟後來承認，Lapsus￥竊取了微軟某些產品相關的部分原始碼。Lapsus$方面則聲稱已經獲得了Bing搜尋引擎和Cortana語音助手的原始碼。（但微軟聲稱其安全措施並不依賴其原始碼的保密性）

北極狼（Arctic Wolf）首席產品官、前微軟安全主管Dan Schiappa認為，微軟的軟體程式碼通常新舊混合，這意味著很難確保沒有漏洞：“微軟需要藉助整個網路安全生態系統來幫助其龐大的技術基礎。微軟會持續改善安全狀況，但我不相信微軟有辦法顯著降低風險。因此，搭配適當的安全產品組合或服務是確保您安全使用微軟產品的最佳方式。”

微軟的產品生態系統瓶頸

作為市場上占主導地位的企業技術供應商，微軟的產品始終是攻擊者的熱門目標。例如：

威脅情報公司Cluster25最近報告稱，俄羅斯GRU（俄羅斯總參謀部主要情報局）旗下的威脅組織APT28（又名Fancy Bear）早在9月9日就使用新策略部署了Graphite惡意軟體。

攻擊者使用PowerPoint（。PPT）檔案引誘目標，當受害者以演示模式開啟文件並將滑鼠懸停在超連結上時，會啟動惡意PowerShell指令碼，從Microsoft OneDrive帳戶下載JPEG檔案。該文件還包括一個超連結，該連結透過SyncAppvPublishingServer工具觸發惡意PowerShell指令碼的執行，使用受害者計算機上的Microsoft Graph API和OneDrive進行進一步的命令和控制通訊。

此外，易受攻擊的Microsoft SQL伺服器也成為新一輪FARGO勒索軟體攻擊的目標。MS-SQL伺服器是資料庫管理系統，用於儲存網際網路服務和應用程式的資料，攻擊者對這些資料的洩露和破壞可導致嚴重的業務問題。FARGO與GlobeImposter一樣，是以MS-SQL伺服器為重點的勒索軟體之一。

安全專家後來發現這些漏洞是由於使用了弱憑據，以及受害者伺服器缺少最新的安全補丁，這與微軟難以配置的早期問題相呼應。

微軟的Windows10作業系統也在引發新的焦慮。根據Lansweeper的研究，在Windows11首次公開發布一年後，只有2。6%的使用者升級到了Windows11。由於Microsoft嚴格的系統要求，42%的PC甚至沒有資格進行自動升級。這意味著企業IT經理們難以在2025年之前升級或更換數百萬臺機器，而屆時微軟表示將停止支援Windows10。

CISO如何降低風險

Anomali威脅研究副總裁Steve Benton認為，利用已知漏洞只是達到目的的一種手段，是攻擊鏈的一部分，其中包含多個必須成功的元件。

“嚴酷的事實是，我們都應該接受這樣一個想法，即你不應該依賴任何產品來保證100%的安全，”Benton說道：“人們必須制定並執行一項戰略，將一整套多層安全控制措施落實到位。該策略應該專注於由TTP（策略、技術和程式）組成的更廣泛的攻擊鏈，這些攻擊鏈由攻擊者驅動，其動機和目標透過相關的、可操作的情報來理解。”

Benton建議採用三重方法：

多層縱深防禦策略。

確保您瞭解您的攻擊面和關鍵資產，並部署了一套重疊的多層安全控制。此外，確保這些元件完全部署到目標範圍、完全可操作並受到監控。

減少暴露。

為所有這些元件定義策略和標準，防止漏洞暴露（即，不要將自己廉價地暴露給攻擊者）。

威脅情報能力。

分析什麼樣的駭客可能會攻擊你，揣測他們的動機或最終目標，以及他們可能會如何實施。這種關鍵情報能力使企業保護業務和客戶時能夠確定資源的優先順序，並針對與企業相關的當前和新興威脅建立和維護動態安全態勢。

Alert Logic安全研究和威脅情報主管Mike Dausin表示：“積極的漏洞和補丁管理策略是企業安全管理的頭等大事。與此同時，採集裝置產生的情報資料至關重要。許多成功的攻擊之所以被忽視，僅僅是因為來自受影響裝置的日誌和訊號未被注意。收集、處理和監控這些訊號對於捕捉現代威脅至關重要。”

微軟的未來會怎樣

Deep Instinct競爭情報分析師Jerrod Piker表示，微軟軟體解決方案在全球各種規模的企業中仍將廣泛使用，未來新漏洞的發現速度可能比目前更快。最近暴露的微軟漏洞表明，這些漏洞利用的複雜性和規模將繼續增長。

Piker認為，雖然微軟提供了一套廣泛的安全解決方案，但在保護自身軟體開發生命週期本身方面似乎沒有取得重大進展。

“微軟自身的安全工作相對被動，未能成功地將安全融入軟體開發流程，這一點沒有根本性的改變之前，我們很可能不會看到微軟軟體解決方案漏洞的數量有顯著降低。”Piker說道。

在剛剛公佈的2022三季度財報中，微軟的雲服務給出了亮眼的增長資料。但Piker認為，只有當基本安全功能成為微軟所有價位的雲服務的標配時，其安全承諾才能完全實現。

“事件記錄和多因素身份驗證等基本安全功能應該被視為標準的IT功能。不幸的是，微軟的雲生態系統似乎仍然缺少這種底層功能，”Piker指出：“從安全形度來看，這是制約微軟雲生態系統發揮其全部潛力的一個因素。”