Wired最新報道指出：無論從營收、市場份額、還是技術(shù)和產(chǎn)品的領(lǐng)導力來看，微軟都是當之無愧的網(wǎng)絡(luò)安全龍頭企業(yè)，也是美國政府高度依賴的科技企業(yè)。與此同時，微軟已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)的“公敵”，同時被看作是美國國家關(guān)鍵基礎(chǔ)設(shè)施的最大單一故障點。

安全創(chuàng)收“成癮”

微軟因向其客戶收取“高級安全服務(wù)”（例如更好的威脅監(jiān)控、防病毒、日志存儲和用戶訪問管理）的額外費用而引發(fā)了網(wǎng)絡(luò)安全行業(yè)的聲討。2023年1月，微軟聲稱其安全部門的年收入已超過200億美元。

“微軟已經(jīng)將網(wǎng)絡(luò)安全當成了搖錢樹，”安全公司SentinelOne的研究副總裁 Juan Andrés Guerrero-Saade評價道。他的同事Alex Stamos最近寫道：利字當頭的微軟已經(jīng)嚴重扭曲了其安全產(chǎn)品設(shè)計決策。

“微軟威脅論”2021年初被引爆，當時美國國會和新上任的拜登政府開始調(diào)查俄羅斯黑客的SolarWinds遠程訪問工具（RAT）攻擊活動。

在通過SolarWinds軟件入侵政府網(wǎng)絡(luò)后，俄羅斯特工欺騙了微軟的云平臺，獲得了廣泛的訪問權(quán)限，竊取了大量機密信息。令人震驚的是，如此嚴重的數(shù)據(jù)泄露的原因并非黑客的技術(shù)有多么高超，而是因為大多數(shù)美國政府機構(gòu)沒有付費購買微軟的“高級服務(wù)”，因而沒有必要的網(wǎng)絡(luò)活動日志來檢測入侵。

事件曝光后，議員們對微軟向政府收取基本安全功能的額外費用感到憤怒，白宮官員在接下來的兩年半時間里私下敦促微軟為所有客戶提供免費日志數(shù)據(jù)。微軟終于在2023年7同意免費提供該服務(wù)（在曝出又一次重大黑客事件八天之后，該事件是由付費獲取日志數(shù)據(jù)的機構(gòu)發(fā)現(xiàn)的）。

當被問及微軟的網(wǎng)絡(luò)安全生意經(jīng)與“安全為先”的社會責任是否存在沖突時，F(xiàn)aehl說：“我們不同意這種說法?！?/p>

此外，微軟在安全漏洞的修復上未能迅速和充分地采取行動，也招來眾多安全專家的批評。

一位著名的網(wǎng)絡(luò)政策專家表示，微軟并未“調(diào)整其安全投資水平和思維模式以適應(yīng)威脅”。網(wǎng)絡(luò)安全審查委員會（CSRB）也猛烈抨擊微軟未能防止公司歷史上最嚴重的黑客事件之一。CSRB在報告指出，微軟的“安全文化不足，需要徹底改革”。

最大的單點失敗

微軟在網(wǎng)絡(luò)安全領(lǐng)域的主導地位引起廣泛擔憂，因為微軟成了最大的單一故障點。美國政府高度依賴單一科技公司，意味著黑客可以輕松通過攻擊一家公司的產(chǎn)品來破壞大量關(guān)鍵基礎(chǔ)設(shè)施和服務(wù)。

一些專家指出，分散的安全投資更安全，沒有什么比電子郵件更能證明美國政府對微軟高度依賴的風險。一位曾在微軟競爭對手工作的美國前網(wǎng)絡(luò)安全官員預(yù)測，一場使微軟電子郵件平臺癱瘓的攻擊將大大降低政府的運營能力。

關(guān)于微軟“一股獨大”的警告可以追溯到20年前，但現(xiàn)在才開始引起政策制定者的更多關(guān)注。

“美國政府對微軟的依賴對美國國家安全構(gòu)成嚴重威脅，”美國參議員羅恩·懷登指出：“表面上是因為微軟的疏忽導致美國政府系統(tǒng)多次被外國黑客實施嚴重攻擊，實際上，(問題的本質(zhì)是)美國政府被困在了微軟的產(chǎn)品中?！?/p>

上周一，懷登宣布了一項草案立法，將為聯(lián)邦政府設(shè)定四年期限，停止購買微軟Office等辦公協(xié)作技術(shù)，批評者稱這些技術(shù)無法很好地與第三方競爭服務(wù)集成。

專家表示，減少政府對單一供應(yīng)商的依賴不僅會使政府受益，還能把攻擊風險分散到更多公司身上，減輕微軟保護如此龐大系統(tǒng)組合的壓力。微軟自身的巨大目標使其成為網(wǎng)絡(luò)犯罪分子和政府黑客的熱門目標，這也是它漏洞頻發(fā)的部分原因。

政府不敢批評的企業(yè)

Wired指出，微軟并不僅僅依靠其市場主導地位來抵制政府監(jiān)管。自上世紀90年代與政府的反壟斷斗爭以來，微軟制定了復雜的公共政策戰(zhàn)略，既包括真誠呼吁保護網(wǎng)絡(luò)空間，又無處不在地參與政策制定和立法。

“在這些問題上，微軟是科技行業(yè)中最老練的一家公司，” 安德魯·格羅托(Andrew Grotto)說，他曾是白宮高級網(wǎng)絡(luò)官員，現(xiàn)在領(lǐng)導著斯坦福大學地緣政治、技術(shù)和治理項目，并為微軟的一些競爭對手提供咨詢?！八麄?5年前就吸取了這個教訓，并一直將其付諸實踐?！?/p>

微軟的威脅情報團隊幾乎比任何其他公司和大多數(shù)政府都更了解惡意網(wǎng)絡(luò)活動，他們定期發(fā)布有關(guān)網(wǎng)絡(luò)威脅的研究，并與執(zhí)法部門合作開展搗毀黑客基礎(chǔ)設(shè)施的行動。微軟還幫助資助像網(wǎng)絡(luò)和平研究所 (CyberPeace Institute) 這樣的組織，倡導更安全的互聯(lián)網(wǎng)，并幫助非政府組織抵御黑客攻擊。微軟還將自己定位為政策制定者的戰(zhàn)略合作伙伴，向迫切希望解決網(wǎng)絡(luò)安全問題但不知道從何入手的政策制定者提供建議，有時還會向立法者提供立法草案參考文本。

專家們表示，憑借其市場主導地位和政治敏銳度，微軟確保政府官員幾乎從未公開批評它。

“由于美國政府完全依賴微軟，因此對微軟的批評往往欲言又止?！?nbsp;民主防務(wù)基金會網(wǎng)絡(luò)和技術(shù)創(chuàng)新中心的高級主任馬克·蒙哥馬利(Mark Montgomery)說道。

甚至在外國黑客闖入沒有支付微軟高級安全功能費用的美國政府機構(gòu)的電子郵件系統(tǒng)之后，白宮國家安全委員會和美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)都拒絕批評微軟。CISA的一位高級官員承認，微軟的商業(yè)模式 “沒有產(chǎn)生我們尋求的那種安全結(jié)果”，但他拒絕直接責備微軟，而是堅持談?wù)撆c該公司富有成效的對話。

結(jié)論：政府應(yīng)該避免被一股獨大的企業(yè)“鎖定”

微軟的安全問題凸顯了政府對單一科技供應(yīng)商過度依賴產(chǎn)生的系統(tǒng)性風險。盡管微軟一再承諾改進其安全措施，但它似乎不愿意進行傷筋動骨的根本性改變。這使得美國政府和其他依賴微軟產(chǎn)品的組織容易受到攻擊。

破解技術(shù)供應(yīng)商“鎖定”風險需要采取多種措施。政府應(yīng)該減少對微軟的依賴，轉(zhuǎn)向更分散的采購方法。微軟也需要對其安全文化進行重大改革，并投資于更強大的安全措施。