【大纪元2023年02月07日讯】(大纪元记者赵孜济编译报导)在科技日新月异的今天,电子邮件已然成为了一项非常古老的技术了,许多人和企业都依赖于微软(Microsoft)、谷歌(Google)和苹果公司(Apple)提供的电子邮件服务来进行交流。
但是网络安全专家表示,这些大型科技公司提供的电子邮件应用程序均在巨大风险,因其依赖于易受到攻击的操作系统,因此需要更频繁地更新默认设置。
早在2021年1月,微软就宣布其软件,特别是运行某些 Microsoft Exchange 服务器的软件,已被中共政府赞助的犯罪集团黑客入侵。该公司还表示,在修补之前,使用该软件的每个用户都容易受到攻击。
在世界各地,各种规模的组织,包括小型企业,都迫不及待地上传补丁,以确定自己没有被渗透。尽管努力避免,但有些人还是遭受了损失。至少200次勒索软件攻击由上述黑客攻击造成,一些企业甚至因此而损失了数百万美元。
这次黑客攻击凸显了3200万家小企业的脆弱性。许多小企业无力聘请网络安全公司,他们主要依赖于软件和硬件公司(谷歌,微软和苹果等科技巨头)的内置安全功能。尽管这些大公司已经作出了一些改进,而且问题存在已久,但漏洞仍然存在,特别是在电子邮件和其他软件程序(包括操作系统)中,这些程序早在当前的网络犯罪和网络间谍活动爆发之前就已经设计好了。
前以色列情报官员伊拉姆(Iram)说,大型软件公司应该让他们的程序能够开箱即用,以便在攻击之前就能作出抵御。
“是的,默认设置很重要,”运营网络安全网站KrebsOnSecurity的克雷布斯(Brian Krebs)说。“默认设置很重要,因为除了密码之外,很少有用户更改默认设置。”
他指出,每当大型软件公司更改默认设置或针对网络安全进行全面更改时,网络犯罪就会大幅下降。
“当浏览器制造商向不使用SSL证书的网站作出警告时,我们看到大多数网站立即大规模采用 HTTPS://,”克雷布斯说。
微软在几个的市场拥有巨大的份额,比如企业电子邮件。微软在这些市场中拥有特别的实力。电子邮件虽然是一种古老的技术,但仍被用于许多勒索软件和网络钓鱼攻击。当用户单击链接或下载软件时,这些攻击就开始了。根据技术研究公司Gartner的数据,微软主导着企业电子邮件/文字处理市场,拥有超过86%的市场份额。谷歌占近13%。
过去微软曾做出一些改变,包括为操作系统启用自动更新、内置防病毒产品以及默认启用防火墙。“但微软很多年后才意识到这样做的商业重要性,以及对用户安全的重要性,”克雷布斯说。
电子邮件的“老化”是个问题
当今技术产品的许多问题都源于它的某些部分早在网络犯罪分子成为问题之前就已经开发出来了。“电子邮件是一种僵化的产品,”促进数字权利的无党派组织民主与技术中心(Center for Democracy & Technology)的首席技术官克诺德尔(Mallory Knodel)说。
主导该领域的大公司没有在基本软件中内置默认的安全功能,而是通常留给网络安全市场来增加安全性,这导致了像CrowdStrike和最近被Alphabet收购Mandiant,这样的新型公司的巨大增长。
但克诺德尔表示,在电子邮件中添加更多控件或过滤器可能会引发数字隐私问题。“我可以想像人们说,‘我不想让谷歌阅读我的电子邮件。’”
她补充说,在复杂的产品中,新的安全措施可能会适得其反。“多层安全防护是有利有弊的,有些设置是相互矛盾的。”
“微软非常重视电子邮件安全,”微软办公室防护(Microsoft Defender for Office)负责人钱德(Girish Chander)在给CNBC的一份声明中表示。他说,该公司打击电子邮件攻击的战略建立在三个原则之上:研究型产品创新,通过摧毁攻击网络来打击攻击者,并专注于帮助机构改善其态势和用户弹性。
每个月,Microsoft Defender for Office 365 都会检测到并阻止近4000万封包含商业电子邮件诈骗(BEC),并阻止1亿封带有恶意凭据网络钓鱼链接的电子邮件,检测并阻止数千个用户诈骗活动。
该公司的数据凸显了全球每天发生的网络攻击次数,也凸显了大型科技公司成为网络安全参与者的存在。谷歌以54亿美元的价格收购Mandiant;微软作为软件的供应商,同时也通过销售其Microsoft Defender for Office防护护软件而存在。
网攻增加 网络保险费也在增加
伊拉姆于2016年与同事共同创立了网络保险公司At-Bay。随着攻击数量的增加,At-Bay的业务压力也在增加。在最坏的情况下,公司警告说,即使与气候变化和流行病相比,网络安全也可能变得“无法保险”。
据该公司称,At-Bay的年度毛承保保费为3.5亿美元,它筹集了2.92亿美元,估值为13.5亿美元。与业内其他公司一样,随着数据泄露和勒索软件攻击数量的增加,At-Bay去年的保费翻了一番多。与Embroker和Coalition等少数其他网络保险公司一样,它的卖点之一是它的保险带有主动风险监控。
他表示他愿意为他对微软的批评承受一些压力,包括接到微软回应他对该公司公开批评的电话。他指出,微软花了18年时间才改变Microsoft Excel中的默认设置以击退攻击者。Microsoft Excel就像电子邮件一样,是另一个多年来基本保持不变的程序。
伊拉姆说,针对微软的黑客攻击导致用户对At-Bay的索赔越来越多。At-Bay目前拥有25,000个针对诈骗保护的政策,其中一些是微软所不具备的,比如在打开或发送电子邮件给局域网以外的人时,会发送一个红旗警告。
但网络安全专家表示,将默认设置更改为更安全的设置可能会激怒客户,并导致强烈反对。
在回答CNBC关于Excel宏的问题时,微软提到了今年2月的一篇关于将安全更改作为默认设置的博客文章。在用户抗议后,该公司后来暂时撤销了这些更改。
在过去的三到五年中,出现了一些专注于小型企业市场的网络安全公司,包括Huntress和SolCyber。但它们通常覆盖至少拥有10名员工的企业。众多的小企业比这要小。在美国3200万家小企业中,约有2300万家只有一名雇员,即企业的所有者,但许多企业可能有固定的承包商,因此存在安全问题。
联邦调查局网络安全专家最近告诉 CNBC,在2021年联邦调查局追踪的网络攻击中损失的数十亿美元中,绝大多数受害者都是小企业。
“遇到这种攻击的小企业没有办法(在金钱或技术上)还击或消化成本,”Embroker首席技术官埃奇沃思(Jonas Edgeworth)通过电子邮件表示。
汽车安全功能给在线安全监管的启示
不仅小企业存在这些担忧。在一个高度网络化的社会中,一家公司的漏洞,即使是最小的漏洞,也可能转移到另一家公司。在Microsoft Exchange大规模漏洞事件中,NPR的一项调查得出结论,作为收集美国消费者数据的一部分,中国黑客正在瞄准美国公司,目的不明。
伊拉姆说,很多中小企业没有资源来防御攻击,也无法从攻击中恢复。随着对这些企业的攻击变得越来越普遍,政府监管机构可能不得不介入。
他把目前的情况和汽车安全功能的发展做了对比。那是一条漫长而稳定的道路,随着保险公司,汽车制造商和联邦政府改变了车辆中包含安全功能的规范,汽车逐渐地更安全了。
“想像一下,如果你买了一辆不安全的汽车,制造商说你应该下载零件,并自己修补它,”他说。“现在想像一下有50个零件。现在你需要聘请一名全职机械师来维护它,……这就是我们要求小企业做的事情。”
这是CISA主任珍·伊斯特利(Jen Easterly)最近在接受CNBC的“Tech Check”采访时使用的一个例子。
“我们习惯将之称为网络安全(cybersecurity),但这确实是一个网络安全(cyber safety)、消费者安全的问题,” 伊斯特利说,“技术公司几十年来一直在生产不安全的产品和软件。他们需要开始制作在设计上安全的、默认安全的产品,并内置安全功能。你可以把它想像成汽车。这就是消费者对我们的技术提出要求。我们以某种方式承认了这样一个事实,即我们已经接受技术软件和产品带有数十、数百、数千种缺陷和缺陷,并将网络安全负担放在消费者身上,而消费者最无法理解威胁。”
到目前为止,美国政府采取了谨慎的态度。美国网络安全基础设施局(the U.S. Cybersecurity Infrastructure Agency)的一位女发言人表示,该局不监管小型企业软件。
美国国家标准与技术研究院(National Institutes of Standards & Technology)发布了一个复杂的框架,规定企业应该自愿做些什么来保护自己免受网络犯罪分子的侵害。它要求加密和控制登录,这对于零售等营业额高的行业的小型企业或只有少数员工(其中许多人在自己的计算机上远程工作)的小型企业来说可能具有挑战性。◇
责任编辑:许小惠
