微軟安全去年營收超1300億元，但霸主地位背后爭議難解

微軟安全業務的營收增速已超過旗下其他所有主要產品，它是否是在靠自家產品的安全漏洞來攫取財務收益呢？

安全內參1月31日消息，微軟安全業務在2022年銷售額創下歷史新高，年收入超過200億美元（約合人民幣1351億元）。但亮眼成績之下，也引發了業界對微軟這種“科技巨頭+安全供應商”雙重身份的激烈爭論。

微軟在日前的財報電話會議上透露，其安全業務收入同比增長33%，相較前年更是提升50%。考慮到當前整體低迷的經濟形勢，微軟安全業務的營收增速已超過集團旗下其他所有主要產品。

微軟CEO薩提亞·納德拉（Satya Nadella）在財報電話會議上表示，“微軟是唯一一家涵蓋身份、安全、合規、設備管理及隱私的端到端集成工具供應商，每天收取和訓練超65萬億個信號。我們在提供的所有主要產品類別中都占有一席之地。”

納德拉強調，過去一年來，在微軟平臺上使用四種或更多工作負載的客戶數量增加了40%以上。市值44億美元的英國體育用品零售商Fraser’s Group就決定將以往的十家安全供應商整合為微軟一家。

納德拉還特別關注身份管理，提到市值27億美元的數字媒體播放器開發商Roku，就使用Azure Active Directory將身份與訪問管理轉移到了云端。根據去年7月的IDC報告，微軟在全球身份與訪問管理市場中占據近四分之一份額，將占比僅為9.2%的亞軍Okta遠遠甩在身后。

此外，納德拉稱微軟的XDR和SIEM整合解決方案Microsoft Sentinel，吸引了市值116億美元的日本制藥業巨頭Astellas Pharma、市值85億美元的西班牙交通基礎設施公司Ferrovial以及多倫多大學等諸多客戶。

“微軟安全悖論”？

一邊是微軟不斷鞏固其作為安全供應商的領導地位，另一邊則是關于微軟技術是否已成為企業安全風險重大來源的激烈爭論不斷。

爭論的焦點，在于微軟安全業務保障的恰恰就是微軟自家產品中的安全漏洞。根據美國網絡安全和基礎設施安全局（CISA）已知被利用的漏洞列表，自2022年初以來，微軟共報告169個安全漏洞，占過去一年所發現漏洞總量的30%。2021年，FBI、NSA、CISA、CIA等主要安全監管機構曾發布15個最常被黑客利用的漏洞，有9個（占比60%）源自微軟系統中的網絡安全缺陷。

最近，微軟確認旗下服務器配置錯誤可能導致客戶數據遭到未授權訪問，這一事件曾在2022年10月引發了微軟與威脅情報公司SOCRadar之間關于風險嚴重性的爭論。11月，微軟修復了6個零日漏洞，其中包括2個已被惡意黑客利用數月的嚴重漏洞。

微軟一位發言人在聲明中指出，“面對當前的威脅形勢，沒有任何企業或個人能夠免受攻擊。”這一觀點是正確的，過去幾年針對技術和安全廠商的無數安全事件已經充分做出了證明。而且考慮到“樹大招風”，之所以涉及微軟技術的安全事件更多，也是因為微軟產品廣泛的市場應用。

但是，仍有部分行業領袖對微軟的安全業務運營信譽表達了擔憂。安全廠商Proofpoint戰略執行副總裁Ryan Kalember去年12月在《財富》雜志的一篇評論文章中，詳細描述了他提出的“微軟悖論”現象，稱微軟是在靠自家產品的安全漏洞來攫取財務收益。

Kalember在文中寫道，“只要微軟在改善代碼安全、停用舊功能（像蘋果那樣）或者推動龐大的客戶群體提高安全基準（像谷歌那樣）等方面能稍微加快腳步，就足以為整個安全社區做出驚人的貢獻。但情況并非如此，微軟并沒有投入大量資金預防漏洞、修復配置缺陷，反而依靠這些問題牟利。所以，微軟公司一方面是在傳播漏洞并托管惡意軟件，另一方面又收費‘保護’用戶免受這些漏洞和威脅的侵害。”

微軟犯的錯，微軟彌補

但值得注意的是，Proofpoint是微軟在電子郵件安全領域的主要競爭對手之一。市場研究公司Omdia的高級首席分析師Rik Turner認為，Proofpiont公司之所以在2021年接受Thoma Bravo開出的123億美元收購價私有化，“至少部分原因是微軟也進入了這個市場。”

安全廠商Epiphany Systems首席安全與信任官、前英特爾首席安全與隱私官Malcolm Harkins也補充稱，“Proofpoint的論述可能存在誤導性，他們也有故意讓人們對微軟起疑的經濟動機。”

Harkins承認，如果安全供應商能從計算漏洞中獲利，那整個安全行業確實擁有故意維持風險循環的經濟動機。但在他看來，微軟幾乎不太可能甘冒如此巨大的品牌聲譽與法律風險，故意在自己的業務應用中部署和傳播惡意軟件。他的判斷恰恰相反：微軟會從安全業務中吸取教訓，借此提高業務應用程序（例如Microsoft Office）的安全水平。

微軟并沒有直接回復置評請求，但公司一名發言人重申，微軟的云生產力與安全產品每天處理65萬億個安全信號，能夠分析超過25億個端點，一年內阻止了347億次身份威脅與370億次郵件威脅。

微軟發言人還提到，該公司為網絡安全社區貢獻了“大量數據和研究成果。我們打心底里認同社區協作的重要意義，所有供應商必須共同努力才能讓整個世界變得更安全。”

Turner認為，對整個行業而言，微軟安全業務的存在有其積極意義。這有利于促進競爭，也有助于FIDO聯盟無密碼身份驗證等標準打開知名度并真正普及。

但其他安全供應商仍需保持警惕。Turner說，“即使別家開發的安全技術能為微軟自家方案提供補充，生存危機也隨時可能降臨。一旦微軟決定收購你的競爭對手或者自主開發同類功能，你就會被擠垮。”