终极收割者”微软正在垄断美军网络安全市场

 安全内参 2023-05-26

五角大楼军事IT“独宠微软”的决定引发巨大争议，众多专家认为此举将非常可能让国家网络安全在外国黑客、敌对网络战士和网络间谍面前脆弱不堪。

安全内参5月26日消息，美国五角大楼悄无声息地决定终止其运行时间最长、旨在保护全球IT设施的网络安全项目之一，并采用微软的商用安全工具取而代之。

众多专家对这项决定表示了反对和批评，称此举将非常可能让国家网络安全在外国黑客、敌对网络战士和网络间谍面前脆弱不堪。

全面启用微软软件产品

可能引发“单点故障”

据悉，“终端安全解决方案”（ESS）项目自2007年开始启动，五角大楼开始据此从不同软件厂商购买或订制商用网络安全工具来守卫国防部网络系统的安全。但该项目持续15年后终被叫停，主管部门希望用微软Defender取而代之。

目前尚不清楚政府希望通过放弃ESS项目以及国防部其他网络安全重复项目节省多少资金，但可以确认的是五角大楼换用Defender安全工具的决定将在两年内花费5.43亿美元。

美国国防部和微软公司发布的消息显示，Defender指一系列拥有微软公司高端软件许可证的网络安全工具，可以为国防部提供一体化网络安全解决方案，五角大楼副首席信息官戴维·迈考恩（David McKeown）认为，“绝对能够满足我们保护军用网络安全的需求”。

但以迈考恩为代表的官方态度招致了军内外众多网络安全专家的反对和批评。

专家们首先担心的是过度依赖微软公司的软件产品会让美国国防部陷入所谓的“垄断性单一文化”，即该部门内的每个人都使用同一来源的软件。这种担心并非空穴来风。数据显示，自2017年五角大楼的400多台办公用台式计算机就开始安装使用微软公司的Windows操作系统，并越来越多地使用该公司提供的Azure云计算服务。在收发邮件、处理文字以及完成其他行政性工作时，210万现役和后备役军事人员以及75万名文职雇员中的大多数均选择使用微软公司出品的Outlook、Office等软件产品。

在去年秋天与国防部首席信息官约翰·谢尔曼（John Sherman）举行的系列会议上，大多数来自美军各军种的高级IT领导人明确表示过度依赖任何一家厂商的产品对网络安全有害无益。

“我们正在纵向整合终端用户、应用软件、云以及安全工具（指使用同一公司产品），这让我非常担心。对我来说，这里面隐藏着不可接受的风险，”一名前美国国防部高级IT军官说。他的同事表示，过度依赖单一厂商的软件产品很可能引发“单点故障”，即系统中某点一旦失效，就会让整个系统无法运作。

“如果应用软件、云基础设施以及安全工具都由同一家公司提供，那就会成为问题。该公司体现在所有软件上的同类弱点，很可能被黑客利用。”所以终止ESS项目是不恰当的，而且是极度危险的，很可能会造成五角大楼面对同种类型的网络攻击时无力抵抗。

一些曾推动微软产品在国防部范围内使用的前职业军官也认为五角大楼的决定“不靠谱”。有人指出，过度依赖某一家软件巨头的产品，会让美军计算机网络变得更容易被侵入，特别是在这支军队正在从反恐作战向大国间战争转型期间，对手不再是“目不识丁”、技术能力低下的恐怖分子或极端分子，而是具备同样技术能力并能有效利用软件漏洞的强国大国。

不过副首席信息官戴维·迈考恩针对“使用微软公司安全工具保护微软软件安全的做法将导致国防部网络遭受攻击”的说法不以为然。他强调，根出同源并与应用软件整合为一体的安全工具更能保证计算机和网络的安全。

与此同时，微软公司也声称已经做好了保护本公司软件安全的准备，因为该公司掌握着遍布全球、数以亿计用户提供的相关数据。“为了强化政府和商业用户的安全，我们的（安全）团队每天都要处理和分享65万亿网络信号。我们将继续投入资源，帮助政府用户与不断增加、日益复杂的安全威胁做斗争，”微软公司在声明中说。

漏洞百出的微软产品能保证安全吗？

专家们反对五角大楼决定的另一个原因是微软公司的软件产品漏洞百出，不值得依赖。《新闻周刊》指出，尽管五角大楼宣称选用微软安全工具的决定是基于美国国家安全局的评估，但外界对微软产品的安全性并不看好，其研发的安全工具究竟能不能发挥作用存在疑问。

美国政府网络安全与基础设施安全局（CISA）对可能被黑客或网络罪犯利用的易受攻击的代码进行连续统计后发现，截止2023年4月，微软软件的漏洞数量独占鳌头。在被发现和归档的919个网络或软件漏洞中，存在于微软公司产品中的有258个，占总数量的28%，超过了名列微软公司之后的思科、Adobe、Apple、Google和Oracle五家公司的总和。CISA及其国际合作伙伴的数据还显示，2021年期间全球15个最常被利用的漏洞中有9个是在微软产品中发现的。

微软公司对此的辩解是，微软软件被人用得多，所以被发现有问题的也多。微软软件产品“无处不在”，所以有更多可能性遭到黑客入侵。公司同时指出，对每家软件公司的产品存在的漏洞数量进行简单的统计是简单而粗暴的。微软产品暴露出的漏洞之所以多，是因为这些产品被使用的数量多、范围广。“如果换一种统计方式，比如对产品与产品进行比较，就会发现微软产品不是最容易受到攻击的。”

但批评者认为，微软商用软件中存在大量漏洞并非偶然。微软在安全防护市场上的竞争对手、网络安全公司Proofpoint执行副总裁瑞恩·凯林伯（Ryan Kalember）指出，微软商用软件中存在漏洞，是延续了数十年的设计理念导致的必然结果。他说，微软公司的软件在设计时强调“向后兼容”原则，即升级后的版本仍然可以兼容使用旧版本创建的文档或系统。该原则虽然方便了客户，但却给安全防护造成了巨大的麻烦。“在一次又一次升级的同时，也积累了越来越多的安全风险。”

Outlook近期暴露出的漏洞很好的证明了凯林伯的说法。这一漏洞存在于30年前使用的NTLM身份验证机制中，该机制25前就已淘汰，但在微软代码中仍需嵌入，否则就是对“向后兼容”原则的违反。于是，黑客就能很容易的利用这一漏洞，仅仅通过发送一份经过特殊处理的邮件就能获得目标的数字签名，然后借助该签名仿冒身份进入目标网络，毫无阻碍地阅读邮件、窃取数据。黑客的这种入侵方式被称为“零点击攻击”，因为他们不需要目标点击链接、附件或打开邮件就能实现侵入的目的。

也许有人认为，发现漏洞后及时发布补丁程序就可以亡羊补牢。但事实并非如此简单，因为很多用户对后发的补丁程序并不在意。

比如黑客们利用了NTML漏洞几乎整整一年后，微软公司终于在3月14日给它打上了补丁。但这一动向并未在网络安全行业之外引起过多关注：对行外来说，那只是又一次例行的漏洞弥补，与微软或其他公司为自己的软件发布安全补丁没什么两样。在发布NTML补丁的同时，微软公司还发布了针对80项不同软件漏洞的升级补丁，其中9项被列为“关键”级，60项被列为“重要”级。但曾在联邦政府部门工作过的资深网络安全管理人员、联邦航空顾问罗杰·克莱斯雷（Roger Cressey）指出，微软产品的大部分用户（特别是政府用户）并未给予上述补丁足够的重视，而且没有对其进行应用。

这个原因在一定程度上解释了：为什么联邦调查局于2021年4月申请法庭令，要求获得授权，对全球范围内6万多个微软用户IT网络上出现的恶意软件进行远程清除。

安全工具来源多样化

更能保证网络安全以政府资深IT专家、海军退役飞行员、前美国国防部代理首席信息官约翰·扎加尔迪（John Zangardi）为代表的安全专家认为，只有提倡网络安全产品来源的多样化与冗余度才能有效消除单点故障的隐患，提升网络系统安全防护水平。扎加尔迪说，自己在任期内一直支持采购不同公司研发的安全产品，而且不会因其与另外的产品功能重复而予以否决。

“现代数字基础设施与现代民用或军用飞机类似，都拥有超出想象的复杂性。制造飞机时通常会安装多套备份系统，以保证飞机主系统出现故障时依然可以依靠备份系统安全飞行。所以，冗余度是额外的安全保证，也是复杂系统可靠性的保证。同理，网络安全工具的来源多样性相当于给数字基础设施建立了备份和冗余，可以在一定程度上保证网络的安全，”扎加尔迪说。

曾在国家安全委员会负责网络安全政策的前白宫官员安德鲁·格洛托（Andrew Grotto）也持相同观点。他表示，五角大楼选用微软产品保护微软产品，是“把所有鸡蛋放在了一个篮子里，而那个篮子又是坏的”。

五角大楼并没有正面回应安全工具来源应该多样化的说法，只是强调本部门在意的是网络安全工具是否能够发挥发挥作用，以及怎样才能发挥作用，而不是使用了哪家公司的产品。副首席信息官迈考恩说，国防部的目标是建立一体化防护系统，并使之成为网络安全力量的源泉而非弱点。

“国防部购买飞机时，并不是要买回一箱子零件再自己组装，而是要买一架完成组装的一体化产品，”他说。“我们可以把网络安全看做一套武器系统，我们需要一个整体的解决方案，而非东一个西一个、需要我们的IT专家组合的独立组件。”

微软公司也对安全工具来源多样化进行解读，称本公司并不排拆其他公司的产品。相反，微软公司是安全产品来源多样化的推崇者，已与1.5万余家网络安全公司发展了伙伴关系，并使用了多源威胁情报，其中一些来自它的竞争对手。

软件系统“复制-粘贴”的可能令人担心

有识之士反对五角大楼独用微软公司办公软件和安全工具的另外一个原因，是担心微软对在国防部范围内的做法进行“复制-粘贴”，应用到整个联邦政府范围内，进而形成事实上巨大垄断。有消息确认了这种可能性，称微软公司有计划复制在国防部的成功，把微软安全产品打入联邦政府部门，让自己的产品不仅能占领五角大楼，还能“统治”联邦政府。

相关数据支持了上述说法——目前使用微软商用软件收发邮件、处理文字的政府雇员超过85%。

“如果一家公司能够为政府部门提供85%的办公软件，那么他就会拥有非比寻常的地位和势力，特别是政府部门认为更换软件供应商是一件成本高昂、推进困难的事情时更是如此，”前白宫官员安德鲁·格洛托说。

美国农业部在2021年合同纠纷中展示的数据证明微软产品确实表现出“统治”联邦政府部门的趋势。数据显示，农业部内96%的工作计算机使用的是Windows操作系统，7500家外设办公室使用微软公司的软件产品，用户超过12万。尽管微软产品的使用许可证费用高达1.7亿美元，而竞争对手谷歌公司的同类产品只需花费5800万美元，但前者对农业部办公系统“垄断”所达到的深度和广度，“迫使”该部不得不继续使用。

农业部官员表示，换用其他公司的软件产品将耗费至少3年时间。“一旦实施将花费上亿美元，而且很可能对部内工作和用户满意度造成广泛的负面影响。”

专精IT事务的政府采购律师米歇尔·加兰德（Michael Garland）感叹，美国农业部曾经的尴尬，让外界罕见地了解到某些行业巨头在政府中的影响力。“这是一个不可否认的事实，即政府部门已经与包括微软公司在内的软件巨头深度捆绑在一起，后者已经广泛占据了政府的办公桌面。”

另一个不争的事实是，微软公司正在试图把网络安全工具与商用软件捆绑在一起销售，这一行为与25年“微软反垄断诉讼”中的内容非常相似。当时，IT采购委员会CEO约翰·韦勒（John Weiler）以专家身份见证了这起诉讼。诉讼书指出，微软公司将IE浏览器与其Windows操作系统捆绑在一起，对Netscape等竞争浏览器形成事实上的排挤。

韦勒指出，微软公司及其软件产品一旦在国防部或联邦政府部门内形成垄断，将是对竞争和创新的巨大打击。他注意到，希望能够为ESS以及其他网络安全项目提供产品的网络安全厂商多达数十家。但五角大楼的决定让他们失望了。“国防部范围内的竞争与创新市场被关闭了，他们心灰意冷，不再有针对后者的需求而创新的激情，因为不会再有资金支持他们这么做。但我们要知道，垄断并不需要创新。垄断者首先要做的，是花费大量精力与资金维持自己的垄断地位。”

微软对上述说法未予置评。

既做应用软件又做安全工具，

完全是一种双倍挣钱的手段尽管微软管理层声称公司进入网络安全市场是出于用户的需求。数十亿使用微软商用软件的客户反馈了他们受到网络攻击的数据，掌握了这些数据并具备丰富软件经验的微软公司，完全有能力进入计算机和网络安全市场。但有专家指出，微软公司既开发应用软件又发布安全工具的做法，完全是为了“挣双份的钱”。

数据显示，微软公司的网络安全业务年收入达到200亿美元，占公司总营收的10%，而且该项业务的收入仍以两位数的速度增长。有批评称，微软网络安全业务之所以能够突飞猛进，是因为用户一边花钱购买其开发的商用软件，一边又被迫拿出额外资金购买其发布的安全工具，“因为他们使用的商用软件并不像宣传的那么安全，”网络安全培训机构SANS研究所安全威胁趋势部门主管约翰·佩斯卡托尔（John Pescatore）说。他还做了一个完美的比喻：

“这跟供水公司的做法差不多。当用水客户抱怨自己购买的水被污染时，供水公司会回应称‘您可以购买我们的滤网以及其他设备，这样就可以在很大程度上消除污染了。’但他们为什么不能从一开始就出售干净清洁的水呢？同理，为什么微软的商用产品不能在出厂时就是安全的呢？”

佩斯卡托尔透露，微软公司20年来持续不断发布的安全补丁花费巨大，但通常都会由政府或商业用户来间接承担，因为他们需要保护保证所用软件的安全性。“唯有软件行业可以要求政府及用户承担因不安全性产生的成本。”

微软公司认为这种盈利模式是理所应当的，称公司有权因高端安全措施向五角大楼或其他用户收取额外费用。副总裁布莱德·史密斯（Brad Smith）在2021年的国会听证会上赤裸裸的表示，“我们是追求利润的公司，我们所做的一切都是为了回报，而非慈善。”

软件商应该从源头  做好安全防护工作

美国政府显然也不满微软公司这种“先开发，再打补丁”的做法。拜登政府在其发布的新版《国家网络安全战略》表露出的意图是，应该让软件公司（特别是像微软这样的巨头公司）承担起网络安全的责任。

安德鲁·格洛托对此进行解读时称，大型软件公司应该在其产品的原始设计中就考虑到安全因素，让用户使用的终端软件拥有嵌入的安全防护功能，不用再通过额外购买软件做事后弥补。他指出，微软公司具备此种能力和实力，不应该再追求所谓的“升级销售”（即让用户购买软件升级包或安全补丁、安全工具等）。

不过，美国国会目前尚未通过任何立法，强迫软件公司在研发过程中就满足用户对安全的需求。所以政府官员希望借助市场的力量来刺激微软等大型公司提高软件的安全水平。

为引导市场需求，CISA特别制定了一系列设计原则，以求获得值得依赖的、可靠的、安全的应用软件。该局特别强调，要终止为追求安全性而出现的“升级销售”现象。负责网络安全事务的CISA执行副局长艾里克·古德斯坦恩（Eric Goldstein）说，为获得基本的安全而支付额外费用是不可取的。

他举了汽车安全带的例子。

“如果租用了一辆汽车却发现没有安全带，而对方要求为安装和使用安全带支付额外费，那么我们不会接受的。同样的道理也应该存在于软件技术行业。应用软件应该具备最起码的、目前技术水平可以达到的安全防护能力。”

他说，过去，政府部门往往要为自己的应用软件购买“安全带”额外多支出40%的费用。“现在是时候要做出改变了。”软件公司应该行动起来，为自己的政府用户提供不需要昂贵附加工具才能保证安全的应用软件。

参考资料：新闻周刊