微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指出，“微软的安全文化不足，需要彻底改革”，微软正是通过制定一系列与高级领导团队的薪酬套餐挂钩的安全原则和目标来做到这一点。 我们将安全作为微软的首要任务，高于一切其他功能。我们将通过将公司高级领导团队的部分薪酬与我们在实现安全计划和里程碑的进展挂钩来确保责任制。 去年 11 月，微软宣布启动“安全未来倡议”（SFI），以应对公司面临的压力，回应允许中国黑客入侵美国政府电子邮件账户的攻击。仅在宣布这一倡议的几天后，俄罗斯黑客就突破了微软的防御，窃取了一些微软高级领导团队成员的电子邮件账户信息。微软直到 1 月份，近两个月后才发现这次攻击，而且同一组织甚至还窃取了源代码。 这些最近的攻击造成了严重的损害，网络安全审查委员会的报告最近进一步指出微软的安全问题，得出结论称该公司本可以防止 2023 年美国政府电子邮件账户的泄露，而一系列的安全失误导致了这一事件。 微软现在有三个安全原则，这些原则是这些目标的重要组成部分：安全设计；默认安全；安全操作。这些原则旨在在产品和服务的设计阶段优先考虑安全，更加注重默认启用的保护措施，并改善对当前和未来威胁的控制与监控。 1. 保护身份和机密信息。微软承诺将在其身份和机密信息基础设施中实施“最佳行业标准”，确保 100%的用户账户通过多因素认证得到保护，以及 100%的应用程序通过像证书这样的管理凭据得到保护。 2. 保护租户并隔离生产系统。微软在这方面采取了一种方法，确保只有健康、受管理且安全的设备能够访问公司的服务集，同时对所有应用程序实施最小权限访问模式（即最低级别的访问权限或权限）。 3. 保护网络。微软承诺将通过对所有生产环境应用隔离和微分段技术，来确保其 100%的生产网络和系统的安全。这应该有助于增加针对攻击者的额外防御层。 4. 微软表示，它将通过零信任和最小权限访问策略，100%保护对其源代码的访问。任何部署到生产环境中的源代码也将受到安全最佳实践的保护，测试环境也将实施标准化的安全和基础设施隔离。 5. 监控并检测威胁。微软承诺将保留 100%的安全日志两年时间，并向客户提供六个月的“适当日志”。同时，微软还将自动检测并“迅速”响应其全部生产基础设施和服务中的可疑访问或配置更改。 6. 加快响应和修复速度。这里的目标是通过更“及时的修复”来防止未修补的漏洞被利用。微软承诺将缩短修复“高严重性”云安全漏洞的时间，并通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，增加这些问题的透明度。 微软现在正在协调其工程团队，分批次完成这项工作。贝尔表示：“这些工程分批涉及到 Azure 云、Windows、Microsoft 365 和安全等团队，每周还有更多的产品团队加入这一流程。” 标签: #微软 #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

微软将启动20年来最大规模改革 与安全及增速最快业务有关

微软将启动20年来最大规模改革 与安全及增速最快业务有关 据悉，微软的网络安全业务每年的销售额超过200亿美元，是该公司增长最快的收入来源之一。许多反黑客工具都是与微软软件捆绑销售的，这引发了一些批评人士对微软反竞争商业行为的指责。美国参议员罗恩·怀登（Ron Wyden）4月8日以微软 “糟糕透顶的网络安全”为由提出立法草案，要求政府为协作软件制定强制性网络安全标准。罗恩·怀登表示：“对于一家受人信任的公司来说，安全是最重要的，对于一家被委托处理大量敏感政府信息的公司来说，尤其是一家仅网络安全收入就高达数百亿美元的公司来说，这种做法是不可接受的。”微软拒绝就怀登的立法草案或言论发表评论。微软在描述网络安全形势时说，网络安全从未像现在这样具有挑战性，微软“在维护世界安全方面扮演着独特的角色”。微软表示，其将利用人工智能和自动化使软件更安全，它正在加强安全协议，使黑客更难利用窃取的凭证或访问工具窃取数据。微软还在加强多因素身份验证的使用，对公司内部100多万个账户自动执行多因素身份验证，包括用于开发、测试、演示和生产的账户。据了解，微软在世纪初也经历过类似的危机。当时，计算机蠕虫病毒正在破坏运行Windows的计算机。2002年1月，公司联合创始人比尔·盖茨发布了“可信计算”备忘录，敦促软件开发人员优先考虑安全问题。 ... PC版： 手机版：

微软解释俄罗斯黑客如何监视其高管

微软解释俄罗斯黑客如何监视其高管 虽然微软在上周五晚些时候首次向美国证券交易委员会披露的信息中没有提供太多关于攻击者如何获得访问权限的细节，但这家软件制造商现在已经公布了一份关于黑客如何突破其安全防护的初步分析报告。微软还警告说，这个被称为 Nobelium 或微软称之为"午夜暴风雪"的天气主题黑客组织一直在攻击其他组织。Nobelium 最初是通过密码喷射攻击进入微软系统的。这种攻击是一种暴力攻击，黑客会使用潜在密码字典来攻击账户。最重要的是，被入侵的非生产测试租户账户没有启用双因素身份验证。微软表示，Nobelium"针对数量有限的账户定制了密码喷射攻击，使用较少的尝试次数来逃避检测"。在这次攻击中，该组织"利用其初始访问权限，识别并入侵了一个传统的测试 OAuth 应用程序，该应用程序拥有进入微软企业环境的高级访问权限"。OAuth 是一种广泛使用的基于令牌身份验证的开放标准。它通常用于整个网络，让您无需向网站提供密码即可登录应用程序和服务。想想你可能用 Gmail 账户登录的网站，这就是 OAuth 在发挥作用。访问权限的提升使该组织能够创建更多恶意 OAuth 应用程序，并创建账户来访问微软的企业环境，最终访问其 Office 365 Exchange Online 服务，从而访问电子邮件收件箱。微软的安全团队解释说："Midnight Blizzard 利用这些恶意 OAuth 应用程序来验证 Microsoft Exchange Online 和 Microsoft 企业电子邮件账户。微软尚未披露有多少公司电子邮件账户成为攻击目标并被访问，但该公司此前将其描述为"微软公司电子邮件账户中的很小一部分，包括我们的高级领导团队成员以及网络安全、法律和其他职能部门的员工"。微软也仍未披露黑客监视其高级领导团队和其他员工多长时间的确切时间表。最初的攻击发生在 2023 年 11 月底，但微软直到 1 月 12 日才发现。这可能意味着攻击者对微软高管进行了近两个月的间谍活动。惠普企业公司（HPE）本周早些时候透露，同一伙黑客此前曾进入其"基于云的电子邮件环境"。HPE 没有透露提供商的名称，但该公司确实透露该事件"很可能与""早在 2023 年 5 月就有数量有限的 [Microsoft] SharePoint 文件外泄有关"。就在微软宣布计划在 Azure 云遭受重大攻击后全面加强软件安全的几天后，该公司就遭到了攻击。 这是微软遭遇的最新一次网络安全事件，此前在 2021 年，由于微软 Exchange Server 的一个漏洞，有 3 万个组织的电子邮件服务器遭到黑客攻击，去年中国黑客通过微软云漏洞入侵了美国政府的电子邮件。近三年前，微软也是 SolarWinds 巨型攻击事件的中心，而这次令人尴尬的高管邮件攻击事件的幕后黑手正是同一个 Nobelium 组织。微软承认其关键测试账户缺乏双因素身份验证，这可能会引起网络安全界的关注。虽然这不是微软软件的漏洞，但这是一套配置不佳的测试环境，让黑客可以悄无声息地穿越微软的企业网络。本周早些时候，CrowdStrike 首席执行官乔治-库尔茨（George Kurtz）在接受 CNBC 采访时问道："一个非生产性测试环境是如何导致微软最高级别官员被入侵的？"我认为这件事还会有更多的进展。"更多的信息已经公布，但仍然缺少一些关键细节。微软确实声称，如果今天部署同样的非生产测试环境，那么"强制性的微软策略和工作流程将确保启用 MFA 和我们的主动保护措施"，以更好地防范这些攻击。微软还有很多需要解释的地方，尤其是如果它想让客户相信它正在真正改进其软件和服务的设计、构建、测试和运行方式，以更好地防范安全威胁的话。了解更多： ... PC版： 手机版：

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击 美国国土安全部（DHS）发布了一份措辞严厉的报告，认为这次黑客攻击是"可以预防的"，微软内部的一些决策导致了"企业文化将企业安全投资和严格的风险管理置于次要地位"。黑客使用获取的微软账户（MSA）消费者密钥伪造了访问网络 Outlook（OWA）和的令牌。报告明确指出，微软仍不确定密钥到底是如何被盗的，但主要的推测是密钥是崩溃转储文件的一部分。微软在 9 月份公布了这一理论，并在最近更新了博客文章，承认"我们没有发现包含受影响密钥材料的崩溃转储"。由于无法访问崩溃转储，微软无法确定密钥到底是如何被窃取的。微软在其更新的博文中说："我们的主要假设仍然是，操作失误导致密钥材料离开了安全令牌签名环境，随后在调试环境中通过一个被泄露的工程账户被访问。"微软 Exchange Online 黑客攻击事件的时间轴微软在 11 月向网络安全审查委员会承认其 9 月份的博客文章不准确，但"在委员会多次询问微软是否计划发布更正"后，微软在几个月后的 3 月 12 日才更正了该文章。虽然微软全力配合了委员会的调查，但结论是微软的安全文化需要彻底改变。网络安全审查委员会表示："委员会认为，这次入侵是可以预防的，根本不应该发生。"委员会还得出结论，"微软的安全文化不足，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的核心地位，以及客户对该公司保护其数据和业务的信任程度。"就在委员会得出这一结论的同一周，微软推出了其专为网络安全专业人士设计的人工智能聊天机器人Copilot for Security。作为消费模式的一部分，微软将向企业收取每小时4美元的费用，以使用这一最新的人工智能工具。Nobelium 是SolarWinds 攻击事件的幕后黑手，它曾在数月内偷窥了一些微软高管的电子邮箱。微软最近承认，该组织访问了公司的源代码库和内部系统。继去年美国政府电子邮件泄露事件和近年来类似的网络安全攻击事件之后，微软公司目前正试图全面改革其软件安全。微软新的"安全未来计划"（Secure Future Initiative，SFI）旨在全面改革其软件和服务的设计、构建、测试和运行方式。这是自2003年破坏性的Blaster蠕虫病毒导致Windows XP机器大面积中招后，微软于2004年推出安全开发生命周期（SDL）以来，在安全方面做出的最大改变。 ... PC版： 手机版：

微软和IBM宣布加强网络安全领域的合作

微软和IBM宣布加强网络安全领域的合作 在这种情况下，IBM 咨询公司业界领先的网络安全服务和微软全面的安全技术组合（包括 Sentinel 和 Entra Suite）将帮助企业改善端到端的安全运营。微软与 IBM 咨询合作关系的主要细节：IBM的威胁检测和响应（TDR）云原生服务最近获得了微软MXDR验证解决方案资格，它将把Microsoft Sentinel、Microsoft Defender XDR和Microsoft Defender for Cloud与支撑IBM TDR云原生服务的人工智能安全技术相结合，帮助客户加快威胁检测和响应速度。IBM 咨询公司的全球安全分析师团队可对客户混合云环境中的安全警报进行全天候监控、调查和自动修复。IBM 咨询公司还将帮助客户转变安全运营方式，最大限度地发挥微软端到端安全解决方案的价值。为了帮助企业保护云身份，IBM 咨询公司和微软在微软 Entra 工具套件的基础上，利用 IBM 的自动化、加速器和行业领域知识对其进行了改进，推出了一种新的解决方案。"微软安全营销副总裁Alym Rayani表示："随着各行各业数字化转型的加速，企业需要一种全面、统一的云安全方法来保护整个企业从芯片到云的安全。我们与IBM咨询公司的合作使客户更容易安全地利用云和人工智能的力量推动业务创新。"作为扩大合作的一部分，微软和 IBM 咨询公司还将投资于联合市场推广计划和再培训计划。IBM提到，IBM咨询公司已经培训了1300多名微软认证的安全从业人员，以便将基于微软的安全工具原生嵌入客户的平台。IBM咨询公司网络安全服务全球主管合伙人马克-休斯（Mark Hughes）表示："要想成功驾驭不断变化且日益复杂的数字环境，就不能再事后考虑安全问题，它必须成为每个组织核心运营的基础部分。我们与微软的合作为客户提供了一种简化、高效、经济的方法来保护云工作负载，并有效管理企业经常面临的大量威胁。" ... PC版： 手机版：

一连串黑客攻击风波后 微软为产品部门增添安全主管

一连串黑客攻击风波后 微软为产品部门增添安全主管 自2015年以来一直担任微软安全高管的安-约翰逊（Ann Johnson）被任命为负责客户拓展和监管行业的副首席信息安全官，并将向茨冈斯基汇报工作。总部位于华盛顿州雷德蒙德的微软公司在一封电子邮件中说，约翰逊的工作重点是"客户参与和有关微软自身安全的沟通"。今年年初，一个俄罗斯国家支持的黑客组织被指控窃取了微软高层管理人员的电子邮件账户，这促使该公司重新分配了数千名工程师，以帮助减少入侵并加快安全更新。2023 年 5 月，一个被认为与中国政府有关联的黑客团伙被指控窃取了微软的一个访问工具，并利用它侵入了美国商务部长吉娜-雷蒙多（Gina Raimondo）、美国驻华大使尼古拉斯-伯恩斯（Nicholas Burns）等数百人的电子邮件账户 。上个月，美国网络安全审查委员会发布了一份严厉的报告，记录了该公司无力阻止与中国有关的黑客攻击，并呼吁微软进行紧急改革。美国参议员罗恩-怀登（Ron Wyden）于 4 月 8 日提出立法草案，要求政府为协作软件制定强制性网络安全标准，理由是微软的网络安全"漏洞百出"。微软于 11 月发布了"安全未来计划"（Secure Future Initiative），这是自 2002 年联合创始人比尔-盖茨（Bill Gates）停止 Windows 开发并命令工程师将产品安全置于新功能之上以来，微软最重要的安全计划。但一些竞争对手、政府官员和客户质疑新计划是否足够深入。最新的一系列变化旨在解决这样一个问题，即在增加新功能并在人工智能等领域与竞争对手一决高下的同时，如何让每个产品组都关注安全问题。微软首席执行官萨蒂亚-纳德拉（Satya Nadella）上周在与投资者的通话中表示，公司现在"将安全放在首位"。相关文章:微软称俄罗斯黑客监视其高管后窃取了源代码微软最近连续发生的网络安全问题已引起美国政府客户的担忧微软将包含员工凭证的服务器暴露在互联网上长达一个月之久美国政府证实俄罗斯黑客对微软实施网络攻击 窃取了政府电子邮件前白宫网络政策主管：微软安全管控失败带来美国国家安全威胁微软正在将安全改进作为公司当前的首要任务 ... PC版： 手机版：