У крупнейшего в мире продавца продуктов кибербезопасности возникли проблемы с собственной кибербезопасностью.
В последние годы корпорация Microsoft подверглась серии хакерских атак, которые раскрыли интересы корпоративных и государственных клиентов. Ранее в этом месяце Совет по обзору кибербезопасности США опубликовал резкий отчет, в котором документально подтверждена неспособность компании помешать хакерам, связанным с китайским правительством, воровать почтовые ящики американских чиновников. Авторы отчета призвали Microsoft провести срочные реформы.
На фоне растущей критики компания пообещала провести самую амбициозную модернизацию системы безопасности за последние два десятилетия. Среди других шагов Microsoft заявляет, что будет быстрее устранять уязвимости в облаке, затруднит хакерам кражу учетных данных и автоматически обеспечит многофакторную аутентификацию для сотрудников.
Перезагрузка системы безопасности является важным обязательством, но критики задаются вопросом, есть ли у Microsoft достаточный стимул для внесения глубоких и долгосрочных изменений. Поскольку клиенты настолько зависят от программного обеспечения компании, они не могут легко переключиться на других поставщиков. Тем временем деятельность Microsoft в области кибербезопасности приносит более 20 миллиардов долларов продаж в год и является одним из самых быстрорастущих источников дохода компании.
Многие антихакерские инструменты продаются в комплекте с программным обеспечением Microsoft, что побуждает некоторых критиков обвинять компанию в антиконкурентной деловой практике.
Ссылаясь на «беспорядочную кибербезопасность» Microsoft, сенатор США Рон Уайден представил 8 апреля законопроект, который потребует от правительства установить обязательные стандарты кибербезопасности для программного обеспечения для совместной работы. Демократ из Орегона заявил, что «привязка к поставщикам, объединение в пакеты и другие антиконкурентные практики» приводят к тому, что правительство тратит «огромные суммы» на небезопасное программное обеспечение.
Отметив утверждение совета по кибербезопасности о том, что Microsoft не уделяет особого внимания безопасности, Уайден сказал Bloomberg: «Для компании, которой доверено столько конфиденциальной правительственной информации, особенно для той, которая генерирует десятки миллиардов долларов доходов только от кибербезопасности, это неприемлемо. Полагаться на то, что государственные поставщики технологий поступят правильно по доброте душевной, было проигрышной стратегией на протяжении десятилетий».
Microsoft отказалась комментировать законопроект или замечания Уайдена. Описывая ситуацию в области кибербезопасности, которая никогда не была более сложной, компания заявила, что ей предстоит сыграть «уникальную роль в обеспечении безопасности мира».
«Нулевая точка»
В интервью в штаб-квартире Microsoft в Сиэтле в начале этого месяца глава службы безопасности Чарли Белл назвал компанию «эпицентром» для хакеров, работающих от имени иностранных правительств. Частично это связано с тем, что Microsoft доминирует на рынке программного обеспечения для корпоративной производительности и операционных систем для настольных компьютеров.
Недавние нападения произошли в тревожной близости от дома. В начале этого года группу обвинили в проверке учетных записей электронной почты топ-менеджеров Microsoft, что побудило компанию переназначить тысячи инженеров, чтобы помочь смягчить вторжение и ускорить обновления безопасности. В мае хакерская банда, связанная с китайским правительством, была обвинена в краже одного из инструментов доступа Microsoft и использовала его для взлома учетных записей электронной почты министра торговли США Джины Раймондо, посла США в Китае Николаса Бернса и сотен других, что побудило провести кибер-обзор. допрос доски.
«Они невероятно хороши в сборе данных с течением времени, собирают и набирают все больше и больше импульса, а затем выясняют, как продолжать использовать это для достижения все большего и большего успеха», — сказал Белл. «От этого очень сложно защититься».
По словам Белла, этот натиск побудил руководителей сказать: «Ну, давайте на минутку отступим».
Результатом, о котором было объявлено в ноябре, стала инициатива Secure Future — перезагрузка системы безопасности всей компании, которая, по словам руководителей, позволит Microsoft лучше бороться с текущими угрозами, а также с будущими угрозами, которые могут быть усилены искусственным интеллектом. Эту работу возглавляет Брет Арсено, вице-президент и главный советник по кибербезопасности, который в течение 14 лет занимал должность директора по информационной безопасности Microsoft. Отвечая на вопрос, почему компания не занялась киберпроблемами раньше, он сказал, что появление искусственного интеллекта и текущие тенденции хакерства стали одной из причин более тщательной проверки безопасности.
«В окружающей среде бывают определенные переломные моменты или изменения, которые заставляют вас переосмыслить, как вы хотите это сделать», — сказал он, позже добавив, что должностные лица компании «полны энергии и сосредоточены» на выполнении обязательств инициативы, «которые во многом соответствуют того, к чему призывает правительство».
Microsoft заявляет, что будет использовать искусственный интеллект и автоматизацию, чтобы сделать программное обеспечение более безопасным, а также больше полагаться на языки программирования, которые считаются более безопасными. Компания заявляет, что совершенствует протоколы безопасности, чтобы хакерам было сложнее использовать украденные учетные данные или инструменты доступа для кражи данных. И компания обещает быстрее реагировать на уязвимости безопасности, в том числе устранять проблемы в облаке на 50% быстрее.
Это непростая задача, учитывая размер Microsoft и сложность ее портфеля продуктов. Компания предлагает Windows, Office, электронную почту Exchange и другие продукты через облако, но продолжает предоставлять их клиентам с собственными серверами. В последнем случае Microsoft предлагает «заплатки» для устранения недостатков так называемых устаревших систем и полагается на клиентов, которые будут устанавливать их и поддерживать протоколы безопасности. Клиенты не всегда выполняют свои обязательства, а попытки прекратить поддержку устаревших программ, таких как Windows XP или Windows 7, вызвали бурю негодования, поскольку многие из них были встроены в банкоматы, больничное оборудование и другие критически важные системы.
«У вас есть целая куча вещей, которые нужно очистить», — сказал Белл. «И это число растет с течением времени».
Microsoft ускоряет усилия по удалению старых или неиспользуемых учетных записей, а также приложений, которые больше не поддерживаются обновлениями программного обеспечения или не соответствуют новым стандартам безопасности. На данный момент компания удалила более 1,7 миллиона учетных записей, связанных с устаревшими или неиспользуемыми учетными записями, а также 730 000 приложений, которые устарели или не соответствовали стандартам безопасности, хотя неясно, сколько в целом идентификаторов и приложений может соответствовать этому описанию.
По словам Арсено, Microsoft также расширяет использование многофакторной аутентификации, автоматически применяя ее для более чем 1 миллиона учетных записей внутри компании, включая те, которые используются для разработки, тестирования, демонстраций и производства.
Теперь компании требуется видеозвонок между менеджерами и сотрудниками или поставщиками, которые создают цифровые идентификаторы и выдают кратковременные учетные данные новым работникам или поставщикам — шаги, призванные усложнить злоумышленникам выдачу себя за кого-либо или кражу их идентификатора. По словам Арсено, даже пользователи с правами администратора высокого уровня больше не могут отключать многофакторную аутентификацию при создании новых учетных записей.
Майкл Дэниел, главный исполнительный директор Cyber Threat Alliance, некоммерческой организации, которая делится информацией о киберрисках и частично финансируется некоторыми конкурентами Microsoft, по запросу Bloomberg проанализировал текущие усилия компании. Дэниел сказал, что в случае полной реализации они повысят безопасность на платформах компании, включая облако. Но он добавил, что обновление безопасности, похоже, не полностью решает несколько ключевых проблем, отмеченных советом по кибербезопасности, включая «неадекватную» культуру безопасности.
«Надежные вычисления»
Если нынешние проблемы Microsoft кажутся вам знакомыми, то это потому, что компания пережила аналогичный кризис в начале нулевых. В то время компьютерные черви нарушали работу компьютеров под управлением Windows. В январе 2002 года соучредитель Билл Гейтс опубликовал свою записку о «надежных вычислениях», призывающую разработчиков программного обеспечения уделять приоритетное внимание безопасности.
«Поэтому теперь, когда мы стоим перед выбором между добавлением функций и решением проблем безопасности , нам нужно выбрать безопасность», — написал Гейтс. «Наши продукты должны обеспечивать безопасность сразу после установки».
Microsoft приостановила разработку новых функций Windows на несколько месяцев, чтобы исправить недостатки, и попыталась создать культуру, более ориентированную на безопасность, среди своих инженеров-программистов.
Вспоминая тот период, Арсено говорит, что это было более простое время. Поскольку Microsoft выпускала версию Windows каждые несколько лет, пауза была возможна. Это уже не так, поскольку Microsoft и ее конкуренты обновляют программное обеспечение несколько раз в день в облаке. «Это просто другая компания», — сказал Арсено.
В последующие годы Microsoft также отставала от Google в поиске, Apple в мобильных устройствах и Amazon в облачных сервисах. Стремление наверстать упущенное побудило компанию поставить скорость выше безопасности. Microsoft была не одна. Многие технологические компании, стремящиеся нажиться на бурном росте Кремниевой долины, приняли идеал, воплощенный в тогдашнем лозунге Facebook: «Двигайтесь быстро и ломайте вещи».
Запоздалый переход Microsoft на облако начался примерно в 2010 году. Этот шаг позволил компании напрямую устранять недостатки безопасности, а не просить клиентов устанавливать исправления. Однако облачные сервисы создают новые проблемы безопасности, о чем ясно свидетельствуют недавние нарушения.
Учитывая изощренность и ресурсы хакеров, поддерживаемых государством, полностью остановить их может оказаться невозможным. Обновление безопасности Microsoft поможет, но критики говорят, что компании следует снова замедлить выпуск новых продуктов, чтобы обеспечить лучшую устойчивость в будущем. На прошлой неделе совет по кибербезопасности призвал Microsoft «уменьшить приоритетность разработки функций в облачной инфраструктуре и наборе продуктов компании до тех пор, пока не будут сделаны существенные улучшения безопасности».
Фактически, Microsoft стремится извлечь выгоду из своего раннего преимущества в области генеративного искусственного интеллекта. По словам Белла, клиенты уже задаются вопросом, как они будут защищать все новые программы искусственного интеллекта. У него есть для них ответ: купите больше программного обеспечения безопасности Microsoft.
Даже подразделение кибербезопасности обнаружило ошибку искусственного интеллекта — запустило помощника для специалистов по безопасности, который помогает обнаруживать и предотвращать попытки взлома. В последние несколько недель руководители колесили по США, демонстрируя инструмент под названием Copilot for Security. По словам Васу Джаккала, вице-президента подразделения безопасности Microsoft, ранние отзывы клиентов об ИИ-помощнике были исключительно положительными.
«Я никогда не видела такого интереса ни к одному инструменту безопасности», — сказала она.