微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指出，“微软的安全文化不足，需要彻底改革”，微软正是通过制定一系列与高级领导团队的薪酬套餐挂钩的安全原则和目标来做到这一点。 我们将安全作为微软的首要任务，高于一切其他功能。我们将通过将公司高级领导团队的部分薪酬与我们在实现安全计划和里程碑的进展挂钩来确保责任制。 去年 11 月，微软宣布启动“安全未来倡议”（SFI），以应对公司面临的压力，回应允许中国黑客入侵美国政府电子邮件账户的攻击。仅在宣布这一倡议的几天后，俄罗斯黑客就突破了微软的防御，窃取了一些微软高级领导团队成员的电子邮件账户信息。微软直到 1 月份，近两个月后才发现这次攻击，而且同一组织甚至还窃取了源代码。 这些最近的攻击造成了严重的损害，网络安全审查委员会的报告最近进一步指出微软的安全问题，得出结论称该公司本可以防止 2023 年美国政府电子邮件账户的泄露，而一系列的安全失误导致了这一事件。 微软现在有三个安全原则，这些原则是这些目标的重要组成部分：安全设计；默认安全；安全操作。这些原则旨在在产品和服务的设计阶段优先考虑安全，更加注重默认启用的保护措施，并改善对当前和未来威胁的控制与监控。 1. 保护身份和机密信息。微软承诺将在其身份和机密信息基础设施中实施“最佳行业标准”，确保 100%的用户账户通过多因素认证得到保护，以及 100%的应用程序通过像证书这样的管理凭据得到保护。 2. 保护租户并隔离生产系统。微软在这方面采取了一种方法，确保只有健康、受管理且安全的设备能够访问公司的服务集，同时对所有应用程序实施最小权限访问模式（即最低级别的访问权限或权限）。 3. 保护网络。微软承诺将通过对所有生产环境应用隔离和微分段技术，来确保其 100%的生产网络和系统的安全。这应该有助于增加针对攻击者的额外防御层。 4. 微软表示，它将通过零信任和最小权限访问策略，100%保护对其源代码的访问。任何部署到生产环境中的源代码也将受到安全最佳实践的保护，测试环境也将实施标准化的安全和基础设施隔离。 5. 监控并检测威胁。微软承诺将保留 100%的安全日志两年时间，并向客户提供六个月的“适当日志”。同时，微软还将自动检测并“迅速”响应其全部生产基础设施和服务中的可疑访问或配置更改。 6. 加快响应和修复速度。这里的目标是通过更“及时的修复”来防止未修补的漏洞被利用。微软承诺将缩短修复“高严重性”云安全漏洞的时间，并通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，增加这些问题的透明度。 微软现在正在协调其工程团队，分批次完成这项工作。贝尔表示：“这些工程分批涉及到 Azure 云、Windows、Microsoft 365 和安全等团队，每周还有更多的产品团队加入这一流程。” 标签: #微软 #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

微软将启动20年来最大规模改革 与安全及增速最快业务有关

微软将启动20年来最大规模改革 与安全及增速最快业务有关 据悉，微软的网络安全业务每年的销售额超过200亿美元，是该公司增长最快的收入来源之一。许多反黑客工具都是与微软软件捆绑销售的，这引发了一些批评人士对微软反竞争商业行为的指责。美国参议员罗恩·怀登（Ron Wyden）4月8日以微软 “糟糕透顶的网络安全”为由提出立法草案，要求政府为协作软件制定强制性网络安全标准。罗恩·怀登表示：“对于一家受人信任的公司来说，安全是最重要的，对于一家被委托处理大量敏感政府信息的公司来说，尤其是一家仅网络安全收入就高达数百亿美元的公司来说，这种做法是不可接受的。”微软拒绝就怀登的立法草案或言论发表评论。微软在描述网络安全形势时说，网络安全从未像现在这样具有挑战性，微软“在维护世界安全方面扮演着独特的角色”。微软表示，其将利用人工智能和自动化使软件更安全，它正在加强安全协议，使黑客更难利用窃取的凭证或访问工具窃取数据。微软还在加强多因素身份验证的使用，对公司内部100多万个账户自动执行多因素身份验证，包括用于开发、测试、演示和生产的账户。据了解，微软在世纪初也经历过类似的危机。当时，计算机蠕虫病毒正在破坏运行Windows的计算机。2002年1月，公司联合创始人比尔·盖茨发布了“可信计算”备忘录，敦促软件开发人员优先考虑安全问题。 ... PC版： 手机版：

微软在涉嫌中国黑客攻击事件后免费提供网络安全工具

微软在涉嫌中国黑客攻击事件后免费提供网络安全工具 微软正在向一些政府和商业客户提供免费的网络安全工具，此前该科技巨头对涉嫌中国黑客入侵美国政府电子邮件帐户的处理方式受到批评。 微软周三表示，从 9 月份开始，微软云计算客户将无需支付额外费用即可访问关键数据以帮助他们发现网络攻击。 据美国官员称，此举是在网络安全官员私下对微软没有采取足够措施来侦测所谓的中国网络间谍活动表示失望之后采取的。该活动袭击了二十多个组织，并于上周公开。美国国务院表示，它于 6 月份发现了网络活动，并向微软报告了这一情况。

微软称其高管电子邮件遭俄罗斯情报组织黑客攻击

微软称其高管电子邮件遭俄罗斯情报组织黑客攻击 微软在周五的监管文件中表示，俄罗斯黑客组织获得了微软高管的一些电子邮件帐户的访问权限。微软在一篇博文中表示：“微软安全团队于2024年1月12日检测到对我们企业系统的民族国家攻击，并立即启动了响应流程。”微软已将威胁行为者确定为 Midnight Blizzard。并补充说，黑客能够访问“极小比例的微软公司电子邮件帐户”，包括属于其高级领导团队成员以及网络安全和法律部门员工的帐户。目前没有证据表明黑客能够访问客户环境、生产系统、源代码或人工智能系统。 、

微软解释俄罗斯黑客如何监视其高管

微软解释俄罗斯黑客如何监视其高管 虽然微软在上周五晚些时候首次向美国证券交易委员会披露的信息中没有提供太多关于攻击者如何获得访问权限的细节，但这家软件制造商现在已经公布了一份关于黑客如何突破其安全防护的初步分析报告。微软还警告说，这个被称为 Nobelium 或微软称之为"午夜暴风雪"的天气主题黑客组织一直在攻击其他组织。Nobelium 最初是通过密码喷射攻击进入微软系统的。这种攻击是一种暴力攻击，黑客会使用潜在密码字典来攻击账户。最重要的是，被入侵的非生产测试租户账户没有启用双因素身份验证。微软表示，Nobelium"针对数量有限的账户定制了密码喷射攻击，使用较少的尝试次数来逃避检测"。在这次攻击中，该组织"利用其初始访问权限，识别并入侵了一个传统的测试 OAuth 应用程序，该应用程序拥有进入微软企业环境的高级访问权限"。OAuth 是一种广泛使用的基于令牌身份验证的开放标准。它通常用于整个网络，让您无需向网站提供密码即可登录应用程序和服务。想想你可能用 Gmail 账户登录的网站，这就是 OAuth 在发挥作用。访问权限的提升使该组织能够创建更多恶意 OAuth 应用程序，并创建账户来访问微软的企业环境，最终访问其 Office 365 Exchange Online 服务，从而访问电子邮件收件箱。微软的安全团队解释说："Midnight Blizzard 利用这些恶意 OAuth 应用程序来验证 Microsoft Exchange Online 和 Microsoft 企业电子邮件账户。微软尚未披露有多少公司电子邮件账户成为攻击目标并被访问，但该公司此前将其描述为"微软公司电子邮件账户中的很小一部分，包括我们的高级领导团队成员以及网络安全、法律和其他职能部门的员工"。微软也仍未披露黑客监视其高级领导团队和其他员工多长时间的确切时间表。最初的攻击发生在 2023 年 11 月底，但微软直到 1 月 12 日才发现。这可能意味着攻击者对微软高管进行了近两个月的间谍活动。惠普企业公司（HPE）本周早些时候透露，同一伙黑客此前曾进入其"基于云的电子邮件环境"。HPE 没有透露提供商的名称，但该公司确实透露该事件"很可能与""早在 2023 年 5 月就有数量有限的 [Microsoft] SharePoint 文件外泄有关"。就在微软宣布计划在 Azure 云遭受重大攻击后全面加强软件安全的几天后，该公司就遭到了攻击。 这是微软遭遇的最新一次网络安全事件，此前在 2021 年，由于微软 Exchange Server 的一个漏洞，有 3 万个组织的电子邮件服务器遭到黑客攻击，去年中国黑客通过微软云漏洞入侵了美国政府的电子邮件。近三年前，微软也是 SolarWinds 巨型攻击事件的中心，而这次令人尴尬的高管邮件攻击事件的幕后黑手正是同一个 Nobelium 组织。微软承认其关键测试账户缺乏双因素身份验证，这可能会引起网络安全界的关注。虽然这不是微软软件的漏洞，但这是一套配置不佳的测试环境，让黑客可以悄无声息地穿越微软的企业网络。本周早些时候，CrowdStrike 首席执行官乔治-库尔茨（George Kurtz）在接受 CNBC 采访时问道："一个非生产性测试环境是如何导致微软最高级别官员被入侵的？"我认为这件事还会有更多的进展。"更多的信息已经公布，但仍然缺少一些关键细节。微软确实声称，如果今天部署同样的非生产测试环境，那么"强制性的微软策略和工作流程将确保启用 MFA 和我们的主动保护措施"，以更好地防范这些攻击。微软还有很多需要解释的地方，尤其是如果它想让客户相信它正在真正改进其软件和服务的设计、构建、测试和运行方式，以更好地防范安全威胁的话。了解更多： ... PC版： 手机版：

微软正在将安全改进作为公司当前的首要任务

微软正在将安全改进作为公司当前的首要任务 其中一起早在 2023 年 7 月就有报道。一个位于中国的黑客组织利用获取的 MSA 密钥伪造了自己的令牌，从而得以访问美国和欧洲的 Outlook 电子邮件账户。2024 年 1 月，另一个位于俄罗斯的黑客组织成功访问了微软一些高层管理人员的电子邮件账户。该公司后来承认，黑客利用这些电子邮件中的信息获取了一些源代码。4 月早些时候，一个安全小组发现，微软的一个 Azure 存储服务器由于没有密码保护，因此向任何可能知道如何访问该服务器的人开放。据报道，所有这些事件以及其他事件都导致微软对其项目进行了大刀阔斧的改革。The Verge 通过未具名消息来源报道称，微软首席执行官萨蒂亚-纳德拉（Satya Nadella）和总裁布拉德-史密斯（Brad Smith）在四月早些时候的一次内部领导会议上谈到了这些问题。报道称，纳德拉和史密斯在会议上告诉大家，安全改进是微软现在最优先考虑的问题。报道称，这意味着微软的团队现在强调安全改进，而不是增加新功能或试图提前推出新产品。尽管微软在加强安全方面做出了新的努力，但也有一些人认为微软不应该让用户为安全功能支付更多的费用。微软的长期记者和分析师玛丽-乔-弗利（Mary Jo Foley）本周就这一问题撰写了一篇文章。她指出，微软应该把重要的安全选项作为基本订阅计划的一部分，而不是额外收费。现在，微软已经注意到了自己的安全漏洞，他们在这一领域的努力能否取得成效，并阻止客户离开，我们拭目以待。 ... PC版： 手机版：