据 The Information 报道,全球市值最高的 IT 安全公司 Palo Alto Networks 的研究人员表示,6 月中旬,微软修复了其 Azure 平台扩展的托管服务中的一个漏洞。 该漏洞主要影响Linux服务器,被攻击者利用。 该漏洞允许访问云服务器,研究人员于 1 月下旬向微软报告了该问题。
有趣的是,微软网络安全产品2021年的营业收入恰好是曝光微软安全漏洞的公司Palo Alto Networks平均年收入的三倍。
该漏洞是今年全球研究人员在微软Azure产品中发现的多个安全漏洞之一。 此前,Azure安全漏洞主要分布在Azure数据库PostgreSQL服务器、Azure自动化服务、云数据库Azure Cosmos DB、开放管理基础设施(OMI)软件代理和Azure App Service中。 有些可以让攻击者完全控制Azure客户的数据,有些可以让恶意用户绕过身份验证并获得对客户数据库的访问权限,有些则由两组漏洞组成。
在过去 18 个月中,微软还经历了一些重大的在线服务中断。
6月14日“补丁星期二”期间,微软发布了2022年6月月度例行安全公告,修复了多个产品中的56个安全漏洞。 受影响的产品包括:Windows 11(28)、Windows Server 2022(29)、Windows 10 21H2(29)等,均覆盖。 NET 和 Visual Studio、Microsoft Office 和 Office 组件、Microsoft Edge(基于 Chromium)等组件,共有 1 个中危漏洞、51 个高危漏洞、3 个严重漏洞。
有趣的是,这次微软终于发布了针对“Follina”的修复程序,这是一个微软Windows中被黑客积极利用的零日漏洞。 据外媒报道,Follina 零日漏洞最初于 4 月 12 日被标记为微软。不过,一位名为 Crazyman 的安全研究人员在 Twitter 上表示,微软最初将该漏洞标记为不是“安全相关问题”。
近年来,安全专家一直指责微软修复关键漏洞的时间过长。 总是需要5、6个月的时间,而且陆续发布了好几个补丁。 即使在2017年,6个月的时间标准也令人惊讶,难以接受。 专家们还对微软在响应漏洞报告方面的透明度和响应能力表示不满。
种种迹象表明,微软的安全漏洞修复能力在众多网络安全测试面前显得有些薄弱。
不过,微软全渠道事业部CTO徐明强博士对界面新闻表示修复系统漏洞软件,虽然实际数据显示Windows每年比其他操作系统存在更多的漏洞,但这是因为黑客攻击Windows的利润很高,因此Windows会成为黑客攻击的目标。 。 当微软为大量企业客户提供服务时,它希望企业能够通过使用平台设备和生产力工具内置的本机安全功能来简化应对安全挑战的方式。
“目前企业的安全防御已经形成了一个怪圈,现在几乎所有的云都出现鱼龙混杂的情况,复杂性不断增加,使得企业往往处于被动防御的状态,防御成本越来越高,人员也紧缺”供应。” 在徐明强看来,科技巨头应该避免让安全管理变得复杂,否则会吸引黑客更加热情的攻击。 想办法提高对运行环境的可视性和洞察力,简化安全管理的复杂性,才是更好的安全防御策略。
另一方面,全球云安全初创企业正在迎来黄金时代。
基于微软近年来的诸多安全漏洞被Wiz研究人员披露,这家2020年才成立的以色列云安全公司的估值一度在去年被推至60亿美元。 Orca Security 和 Lacework 等云安全初创公司的同行估值也在资本市场不断上涨。 Orca Security 今年也多次向微软通报安全漏洞。
网络安全咨询公司 Momentum 的《2022 年网络安全年鉴》显示修复系统漏洞软件,2021 年全球网络安全市场融资总额较上一年增长了 138%,风险投资资金从 124 亿美元增至 29.3 亿美元,涉及 1,000 多笔交易。 一亿美元。 这几乎相当于2018-2020年宣布的投资总额(303亿美元)。
其中,投资额超过1亿美元的有82家,超过30家公司申报了独角兽地位。
今年年初,微软与谷歌就对一家云安全公司的巨额收购展开竞争。 目标是Mandiant,其主要业务是解决托管服务中的安全漏洞。 微软在收购该公司前一个月就已与谷歌讨论了收购事宜。 事,但最终失败了。 然而,仅去年一年,微软就收购了多家不同赛道的头部安全公司,包括RiskIQ、CloudKnox Security和ReFirm,足见巨头对安全领域的重视。 徐明强告诉界面新闻,收购CloudKnox对于微软来说非常重要。 该公司可以帮助微软提高客户在多云环境中的管理权限,并在平台、设备、用户和服务数量翻倍时保护所有平台。
徐明强认为,当今企业安全防御的一大痛点是缺乏不断变化的身份和权限,以及多云世界中缺乏可见性和控制力。 “微软在安全领域的收入正在快速增长,现阶段将重点帮助客户提供全面、更加立体的安全防护。”
去年年底,为了应对网络安全的新挑战,微软聘请亚马逊前高管贝尔担任新成立的安全、合规、身份和管理部门,预计员工人数将超过1万名。 微软网络安全团队表示,公司未来五年将继续加大对网络安全业务的投入,预计将花费200亿美元用于客户安全保护。
免责声明:除非所发表的文章无法追溯到作者并获得授权,否则我们将注明文章的作者和出处。 如有版权问题,请及时联系我们,我们将尽快删除。 谢谢!文章来源:东方财富网
