ในงานแถลงข่าวรายงาน Security Intelligence Report (SIR) ของไมโครซอฟท์มีช่วงสัมภาษณ์ผู้บริหารที่มาแถลงข่าวโดยตรงนานพอสมควร โดยมีทั้งช่วงสัมภาษณ์รวมและแยกรายประเทศ ผมรวบรวมคำถามที่น่าสนใจมาเป็นบทความเดียวกันครับ
ไมโครซอฟท์มองหาต้นเหตุของความแตกต่างของแต่ละประเทศ จากการสำรวจปัจจัยมากกว่า 80 ปัจจัย เราพบว่ามี 11 ปัจจัยที่มีความเชื่อมโยงกับอัตราการติดมัลแวร์สูง เช่น GDP ของประเทศ ปริมาณการใช้ซอฟต์แวร์เถื่อน
ปัจจัยหนึ่งที่ไมโครซอฟท์เองก็แปลกใจคือ "เสถียรภาพของรัฐบาล" ในช่วงที่อียิปต์มีความวุ่นวายในประเทศ ปริมาณมัลแวร์เพิ่มขึ้นไปพร้อมกัน เหตุผลที่เป็นเช่นนี้อาจเป็นเพราะช่วงเวลาปกติ รัฐบาลสามารถทำงานร่วมกับเอกชนได้อย่างมีประสิทธิภาพ สามารถแจ้งเตือนแล้วแก้ไขปัญหาได้ แต่ในช่วงที่วุ่นวาย กระบวนการนี้อาจทำงานได้ไม่ดี
บั๊กนี้เกิดขึ้นหลังจากวันหยุดซัพพอร์ตเพียงไม่ถึงสัปดาห์ เราพิจารณาแล้วจึงตัดสินใจปล่อยแพตซ์นี้ออกไป
ประเด็นนี้ Adrienne Hall หัวหน้าของผมเขียนบล็อกอธิบายไว้อย่างละเอียด ว่าทำไมเราจึงตัดสินใจเช่นนี้
แต่ถ้าคุณดูอัพเดตรอบล่าสุดของไมโครซอฟท์ คุณจะไม่เห็นอัพเดตสำหรับ Windows XP แล้ว การที่เราปล่อยอัพเดตให้ครั้งนั้นไม่ได้แปลว่าคุณควรอยู่กับ Windows XP ต่อไป
แนวทางของเราคือแสดงแผนการหยุดซัพพอร์ตอย่างโปร่งใส เพื่อให้ลูกค้าสามารถพิจารณาได้ว่าจะเตรียมอัพเดตเมื่อใด
รายงานพวกนั้นเป็นรายงานที่ไม่ถูกต้อง การซัพพอร์ต Windows XP นั้นจบไปแล้ว เรามีข้อตกลงกับองค์กรขนาดใหญ่บางองค์กรที่ไม่สามารถอัพเกรดซอฟต์แวร์ของพวกเขาไปเป็นวินโดวส์รุ่นอื่นได้ อาจเป็นเพราะผู้ผลิตซอฟต์แวร์ที่พัฒนาขึ้นมาไม่อยู่แล้วหรือเหตุผลอื่นๆ ในกรณีแบบนั้น เรามีข้อตกลงว่าจะอัพเดตให้เฉพาะบั๊กที่จัดอยู่ในระดับวิกฤติ (critical) เท่านั้น
ไมโครซอฟท์ยังคงปล่อย Malicious Software Removal Tool ที่ใช้เก็บข้อมูลในรายงานนี้ต่อไปจนถึงวันที่ 14 กรกฎาคม 2014 และอัพเดต Microsoft Security Essential ต่อไป ทำให้เรายังเก็บข้อมูลต่อไปได้
อย่างไรก็ดีการที่ไมโครซอฟต์อัพเดตซอฟต์แวร์เหล่านั้นให้ไม่ได้แปลว่ายังใช้งาน Windows XP ได้อย่างปลอดภัย เมื่อมีช่องโหว่ที่ไม่ได้แพตซ์ ซอฟต์แวร์ป้องกันอาจจะช่วยหยุดภัยที่เข้ามาได้บ้าง หากมันรู้จักซอฟต์แวร์ที่อาศัยช่องโหว่ แต่หากไม่รู้จักก็ไม่สามารถหยุดภัยไว้ได้
เราไม่เห็นแนวโน้มแบบนั้น แนวโน้มที่เราเห็นคือการใช้ช่องโหว่ที่ยังไม่มีการประกาศเพื่อโจมตีเป้าหมายอย่างเจาะจง
แฮกเกอร์เหล่านี้เมื่อพบช่องโหว่พวกเขาเริ่มเก็บช่องโหว่ได้กับตัวมากขึ้น เพื่อวันหนึ่งเขาจะใช้กับเป้าหมายที่ทำเงินได้อย่างชัดเจน
ไมโครซอฟท์ติดตามพฤติกรรมนี้มาตั้งแต่ปี 2012 พบว่าในภัยระดับ "ร้ายแรง" ที่ถูกรายงานทั้งหมด 16 ครั้ง มีถึง 9 ครั้งที่ถูกพบเพราะมีการใช้งานกับเป้าหมายอย่างเจาะจงไปแล้ว
โดยทั่วไปแล้ว การโจมตีแบบนี้เรียกกันว่า "advanced persistent threats" แต่ไมโครซอฟท์เรียกว่า "targeted attacks by determined adversaries" เพราะในความเป็นจริงแล้วภัยแบบนี้ไม่ได้ ก้าวหน้ากว่าภัยอื่นๆ แต่อย่างใด แต่แฮกเกอร์เหล่านี้เลือกจะใช้ช่องโหว่เพื่อเจาะเข้าไปยังเป้าหมายโดยใช้ช่องโหว่ที่ค้นพบไว้ก่อนแทนที่จะเปิดเผยช่องโหว่ หรือนำข่องโหว่ไปขายหรือไปแจก