微软在疑似中国黑客攻击后将免费提供部分网络安全工具——《华尔街日报》

微软的分级付费系统在据称与中国有关的网络间谍活动后引发批评。图片来源：Victor J. Blue/彭博新闻微软 表示，计划免费提供一些可以识别网络攻击的工具。此前该公司披露了一起与中国黑客有关、部分客户无法检测的重大安全漏洞。

微软决定开放其后端系统访问权限（这些系统记录云上活动）之前，其分级付费系统在据称与中国有关的网络间谍活动后引发批评。微软表示，该活动渗透了其基于云的电子邮件系统，并入侵了全球约二十多个组织的收件箱。美国官员称，联邦政府是此次攻击的受害者之一，包括国务院官员和商务部长吉娜·雷蒙多。

微软安全副总裁瓦苏·贾卡尔表示，从9月开始，这家科技公司将向低成本云服务用户免费提供31种至关重要的安全日志，包括用于识别与中国有关攻击的电子邮件日志类型。贾卡尔称，公司还将把安全日志的保留时间从90天延长至180天。

虽然日志无法阻止网络攻击，但企业通过日志追踪微软服务器上的活动，用以检测和调查黑客入侵。官员上周表示，在近期与中国相关的入侵事件中，检测攻击所需的关键日志信息仅面向购买微软顶级Microsoft 365云服务（E5版本）的客户提供，这使得采用低价服务方案的客户无法判断自己是否遭到入侵。

美国网络安全与基础设施安全局网络安全执行助理主任埃里克·戈德斯坦表示：“这是重要进步，能确保所有微软客户获得必要的可见性，以检测那些我们已知的、每天都在针对美国机构的威胁。”

贾卡尔与戈德斯坦指出，识别高价值安全日志并无偿提供给微软客户的行动已持续一年，这是微软与拜登政府合作的成果。二人均未将周三的声明直接与所谓"中国黑客事件"挂钩。但贾卡尔表示：“鉴于当前网络环境的复杂性，推进这项工作显然具有紧迫性。”

入侵事件发生后，拜登政府高级官员、知名民主党参议员及网络安全专家均呼吁微软扩大云活动计算机日志的开放范围。虽然微软在国务院首次发现该黑客活动后能够识别受害者（即使目标公司未购买高级服务），但专家表示部分客户缺乏可见性意味着攻击可能长期未被察觉。

网络安全顾问杰克·威廉姆斯表示，许多企业并未意识到其云计算产品可能存在日志记录不全的问题。“我经常为一些机构提供咨询，它们往往只有在调查账户盗用事件时，才发现缺失了这些关键日志。“威廉姆斯说道。

俄勒冈州民主党参议员罗恩·怀登对此举表示欢迎，但指出微软等大型网络安全企业存在利益错位——通过提供不安全的产品再向客户兜售安全附加服务来牟利。

“本不该等到联邦系统遭遇多次灾难性入侵后，微软才为政府客户标配基础安全功能，但迟做总比不做好。“怀登在声明中表示，“今后联邦机构应要求软件合同必须包含安全日志等网络安全功能，避免国家安全再因采购流程的疏漏而受损。”

在微软称可追溯至五月、约一个月后发现的所谓中国黑客入侵事件中，政府官员曾担忧使用微软低价云服务的用户可能无法查看暴露入侵迹象的邮件日志信息。

微软仍在调查近期所谓的中国黑客事件，但迄今未说明黑客得逞的具体手段。戈德斯坦周二表示，联邦政府正持续调查此次入侵并评估其全面影响。官方虽未正式将攻击归咎于北京，但表示没有理由质疑微软的 attribution。中国已否认相关指控，并反指美国从事大规模网络间谍活动。

“这是一次复杂的攻击，我们正与微软密切合作，调查仍在进行中，”戈尔茨坦表示。

联系达斯汀·沃尔兹，邮箱：[email protected]；联系罗伯特·麦克米伦，邮箱：[email protected]

刊登于2023年7月20日印刷版，标题为《微软将在网络攻击后提供免费工具》。