微软被批安全事件披露机制存在问题 黑客可以通过安全报告发起针对性攻击
前文我们提到谷歌因为隐瞒其西方盟友发起的黑客攻击遭到批评,但在安全方面有问题的当然也不只是谷歌公司。
现在微软在安全事件的处理工作上同样遭到批评,只不过微软的不涉及西方政府机构而是漏洞信息的安全保护上。
此次微软被批的主要是最近Microsoft Exchange Server 服务器漏洞问题,有关该问题蓝点网此前已经提到多次。
调查显示全球有数以万计的企业、政府机构、学校、医院和其他机构的邮件服务器被黑,泄露的数据也不计其数。
尽管微软已经第一时间对漏洞进行修复,但是奈何相当多的政企机构不知道是没看到通报还是其他问题没有修复。
而按照微软的通报规则,只要发布安全补丁那就同时发布安全报告,报告会大致说明涉及漏洞的产品和部分细节。
正常来看微软的这种做法符合安全业界要求似乎并没有什么不对的,但是即便如此微软还是遭到部分人士的批评。
原因在于如果微软只发布安全更新而不发布安全公告的话,攻击者想要知晓漏洞并进行研究需要花费较长的时间。
而微软发布的安全公告等于给攻击者指明方向,这使得攻击者利用漏洞的速度显著提升并会造成难以想象的损失。
事实也确实如此,在微软发布安全报告后至少同时有十个成规模的黑客集团利用该漏洞试图攻击企业邮件服务器。
而且多数攻击行为都是成功的,当利用漏洞攻击邮件服务器后可盗取企业的内部信息甚至利用邮件服务器做跳板。
现在微软情报威胁团队还发现有部分勒索软件开发商利用该漏洞盗取信息并部署加密勒索软件对企业进行勒索等。
如果企业不愿意支付高额赎金的话不仅所有文件和资料无法恢复,企业内部机密信息还有可能会被公开在互联网。
微软对自己的做法并没有感觉到不妥,该公司就此问题发布的回应是确实有黑客会在安全报告发布后利用漏洞。
但安全报告透露的信息有限因此黑客还是要花费较长时间去研究漏洞,并不是看看安全报告就能立即发起攻击。
微软表示该公司鼓励所有用户提高信息共享和安全警惕阻止网络攻击,这样可以第一时间修复漏洞提高安全性。
这言外之意就是你没及时关注安全公告没有及时安装安全补丁是你的问题,微软不认为自己的做法有什么不妥。
实际上安全业界对微软的这种做法确实没有批评,毕竟安全从业者都希望开发商能够及时通报并修复安全漏洞。
只是终端用户方面总是会因为各种问题无法及时修复漏洞,尽管微软也准备部分应对措施但有些用户就不修复。
典型案例例如永恒之蓝蠕虫漏洞 , 该漏洞危害性极强乃至微软破天荒的为已停止服务的XP系统都发布安全更新。
但仍有企业在明知漏洞的情况下不愿意修复,例如台积电就因为没有修复这枚漏洞导致产线部分工控设备被黑。
台积电给出的回应是评估安全更新需要很长时间,显然台积电等公司认为生产设备稳定才是最重要的安全次之。