【2023年02月07日訊】(記者趙孜濟編譯報導)在科技日新月異的今天,電子郵件已然成為了一項非常古老的技術了,許多人和企業都依賴於微軟(Microsoft)、谷歌(Google)和蘋果公司(Apple)提供的電子郵件服務來進行交流。
但是網絡安全專家表示,這些大型科技公司提供的電子郵件應用程序均在巨大風險,因其依賴於易受到攻擊的操作系統,因此需要更頻繁地更新默認設置。
早在2021年1月,微軟就宣布其軟件,特別是運行某些 Microsoft Exchange 服務器的軟件,已被中共政府贊助的犯罪集團黑客入侵。該公司還表示,在修補之前,使用該軟件的每個用戶都容易受到攻擊。
在世界各地,各種規模的組織,包括小型企業,都迫不及待地上傳補丁,以確定自己沒有被滲透。儘管努力避免,但有些人還是遭受了損失。至少200次勒索軟件攻擊由上述黑客攻擊造成,一些企業甚至因此而損失了數百萬美元。
這次黑客攻擊凸顯了3200萬家小企業的脆弱性。許多小企業無力聘請網絡安全公司,他們主要依賴於軟件和硬件公司(谷歌,微軟和蘋果等科技巨頭)的內置安全功能。儘管這些大公司已經作出了一些改進,而且問題存在已久,但漏洞仍然存在,特別是在電子郵件和其他軟件程序(包括操作系統)中,這些程序早在當前的網絡犯罪和網絡間諜活動爆發之前就已經設計好了。
前以色列情報官員伊拉姆(Iram)說,大型軟件公司應該讓他們的程序能夠開箱即用,以便在攻擊之前就能作出抵禦。
「是的,默認設置很重要,」運營網絡安全網站KrebsOnSecurity的克雷布斯(Brian Krebs)說。「默認設置很重要,因為除了密碼之外,很少有用戶更改默認設置。」
他指出,每當大型軟件公司更改默認設置或針對網絡安全進行全面更改時,網絡犯罪就會大幅下降。
「當瀏覽器製造商向不使用SSL證書的網站作出警告時,我們看到大多數網站立即大規模採用 HTTPS://,」克雷布斯說。
微軟在幾個的市場擁有巨大的份額,比如企業電子郵件。微軟在這些市場中擁有特別的實力。電子郵件雖然是一種古老的技術,但仍被用於許多勒索軟件和網絡釣魚攻擊。當用戶單擊鏈接或下載軟件時,這些攻擊就開始了。根據技術研究公司Gartner的數據,微軟主導著企業電子郵件/文字處理市場,擁有超過86%的市場份額。谷歌占近13%。
過去微軟曾做出一些改變,包括為操作系統啟用自動更新、內置防病毒產品以及默認啟用防火牆。「但微軟很多年後才意識到這樣做的商業重要性,以及對用戶安全的重要性,」克雷布斯說。
電子郵件的「老化」是個問題
當今技術產品的許多問題都源於它的某些部分早在網絡犯罪分子成為問題之前就已經開發出來了。「電子郵件是一種殭化的產品,」促進數字權利的無黨派組織民主與技術中心(Center for Democracy & Technology)的首席技術官克諾德爾(Mallory Knodel)說。
主導該領域的大公司沒有在基本軟件中內置默認的安全功能,而是通常留給網絡安全市場來增加安全性,這導致了像CrowdStrike和最近被Alphabet收購Mandiant,這樣的新型公司的巨大增長。
但克諾德爾表示,在電子郵件中添加更多控件或過濾器可能會引發數字隱私問題。「我可以想像人們說,『我不想讓谷歌閱讀我的電子郵件。』」
她補充說,在複雜的產品中,新的安全措施可能會適得其反。「多層安全防護是有利有弊的,有些設置是相互矛盾的。」
「微軟非常重視電子郵件安全,」微軟辦公室防護(Microsoft Defender for Office)負責人錢德(Girish Chander)在給CNBC的一份聲明中表示。他說,該公司打擊電子郵件攻擊的戰略建立在三個原則之上:研究型產品創新,通過摧毀攻擊網絡來打擊攻擊者,並專注於幫助機構改善其態勢和用戶彈性。
每個月,Microsoft Defender for Office 365 都會檢測到並阻止近4000萬封包含商業電子郵件詐騙(BEC),並阻止1億封帶有惡意憑據網絡釣魚鏈接的電子郵件,檢測並阻止數千個用戶詐騙活動。
該公司的數據凸顯了全球每天發生的網絡攻擊次數,也凸顯了大型科技公司成為網絡安全參與者的存在。谷歌以54億美元的價格收購Mandiant;微軟作為軟件的供應商,同時也通過銷售其Microsoft Defender for Office防護護軟件而存在。
網攻增加 網絡保險費也在增加
伊拉姆於2016年與同事共同創立了網絡保險公司At-Bay。隨著攻擊數量的增加,At-Bay的業務壓力也在增加。在最壞的情況下,公司警告說,即使與氣候變化和流行病相比,網絡安全也可能變得「無法保險」。
據該公司稱,At-Bay的年度毛承保保費為3.5億美元,它籌集了2.92億美元,估值為13.5億美元。與業內其他公司一樣,隨著數據洩露和勒索軟件攻擊數量的增加,At-Bay去年的保費翻了一番多。與Embroker和Coalition等少數其他網絡保險公司一樣,它的賣點之一是它的保險帶有主動風險監控。
他表示他願意為他對微軟的批評承受一些壓力,包括接到微軟回應他對該公司公開批評的電話。他指出,微軟花了18年時間才改變Microsoft Excel中的默認設置以擊退攻擊者。Microsoft Excel就像電子郵件一樣,是另一個多年來基本保持不變的程序。
伊拉姆說,針對微軟的黑客攻擊導致用戶對At-Bay的索賠越來越多。At-Bay目前擁有25,000個針對詐騙保護的政策,其中一些是微軟所不具備的,比如在打開或發送電子郵件給局域網以外的人時,會發送一個紅旗警告。
但網絡安全專家表示,將默認設置更改為更安全的設置可能會激怒客戶,並導致強烈反對。
在回答CNBC關於Excel宏的問題時,微軟提到了今年2月的一篇關於將安全更改作為默認設置的博客文章。在用戶抗議後,該公司後來暫時撤銷了這些更改。
在過去的三到五年中,出現了一些專注於小型企業市場的網絡安全公司,包括Huntress和SolCyber。但它們通常覆蓋至少擁有10名員工的企業。眾多的小企業比這要小。在美國3200萬家小企業中,約有2300萬家只有一名雇員,即企業的所有者,但許多企業可能有固定的承包商,因此存在安全問題。
聯邦調查局網絡安全專家最近告訴 CNBC,在2021年聯邦調查局追蹤的網絡攻擊中損失的數十億美元中,絕大多數受害者都是小企業。
「遇到這種攻擊的小企業沒有辦法(在金錢或技術上)還擊或消化成本,」Embroker首席技術官埃奇沃思(Jonas Edgeworth)通過電子郵件表示。
汽車安全功能給在線安全監管的啟示
不僅小企業存在這些擔憂。在一個高度網絡化的社會中,一家公司的漏洞,即使是最小的漏洞,也可能轉移到另一家公司。在Microsoft Exchange大規模漏洞事件中,NPR的一項調查得出結論,作為收集美國消費者數據的一部分,中國黑客正在瞄準美國公司,目的不明。
伊拉姆說,很多中小企業沒有資源來防禦攻擊,也無法從攻擊中恢復。隨著對這些企業的攻擊變得越來越普遍,政府監管機構可能不得不介入。
他把目前的情況和汽車安全功能的發展做了對比。那是一條漫長而穩定的道路,隨著保險公司,汽車製造商和聯邦政府改變了車輛中包含安全功能的規範,汽車逐漸地更安全了。
「想像一下,如果你買了一輛不安全的汽車,製造商說你應該下載零件,並自己修補它,」他說。「現在想像一下有50個零件。現在你需要聘請一名全職機械師來維護它,……這就是我們要求小企業做的事情。」
這是CISA主任珍·伊斯特利(Jen Easterly)最近在接受CNBC的「Tech Check」採訪時使用的一個例子。
「我們習慣將之稱為網絡安全(cybersecurity),但這確實是一個網絡安全(cyber safety)、消費者安全的問題,」 伊斯特利說,「技術公司幾十年來一直在生產不安全的產品和軟件。他們需要開始製作在設計上安全的、默認安全的產品,並內置安全功能。你可以把它想像成汽車。這就是消費者對我們的技術提出要求。我們以某種方式承認了這樣一個事實,即我們已經接受技術軟件和產品帶有數十、數百、數千種缺陷和缺陷,並將網絡安全負擔放在消費者身上,而消費者最無法理解威脅。」
到目前為止,美國政府採取了謹慎的態度。美國網絡安全基礎設施局(the U.S. Cybersecurity Infrastructure Agency)的一位女發言人表示,該局不監管小型企業軟件。
美國國家標準與技術研究院(National Institutes of Standards & Technology)發布了一個複雜的框架,規定企業應該自願做些什麼來保護自己免受網絡犯罪分子的侵害。它要求加密和控制登錄,這對於零售等營業額高的行業的小型企業或只有少數員工(其中許多人在自己的計算機上遠程工作)的小型企業來說可能具有挑戰性。◇
