经历一系列事故后 微软全面改革将安全视为"重中之重"
经历一系列事故后微软全面改革将安全视为"重中之重"去年11月,微软宣布了一项"安全未来计划"(SecureFutureInitiative,SFI),以应对公司在应对中国黑客入侵美国政府电子邮件账户的攻击方面所面临的越来越大的压力。就在宣布该计划的几天后,俄罗斯黑客成功攻破了微软的防御系统,并窥探了微软高级领导团队部分成员的电子邮件账户。微软直到将近两个月后的1月份才发现这一攻击,而同一组织甚至继续窃取源代码。最近的这些攻击具有破坏性,网络安全审查委员会的报告最近对微软的安全问题火上浇油,认为该公司本可以防止2023年发生的美国政府电子邮件账户外泄事件,是"一连串的安全故障"导致了这一事件的发生。微软负责安全事务的执行副总裁查理-贝尔(CharlieBell)在今天的一篇博客文章中解释说:"我们将安全作为微软的首要任务,它高于其他一切事务。我们将根据我们在实现安全计划和里程碑方面的进展情况来确定公司高级领导团队的部分薪酬,以此来灌输责任感。"微软现在有三个安全原则,它们是这些目标的重要组成部分:设计安全、默认安全和操作安全。这些原则的目的是在产品和服务的设计阶段将安全放在首位,更加注重默认启用的保护措施,并改进对当前和未来威胁的控制和监控。六大优先安全支柱"强调了更广泛的目标,这也是微软需要大力改进的地方:保护身份和机密。微软承诺将在其身份和机密基础架构中实施"同类最佳标准",从而使100%的用户账户受到多因素身份验证的保护,100%的应用程序受到证书等托管凭证的保护。保护租户,隔离生产系统。微软正在采取一种方法,确保只有健康、受管理和安全的设备才能访问公司自己的服务集,同时为100%的应用程序提供最少权限访问模型(最低访问级别或权限)。保护网络。微软承诺通过在所有生产环境中应用隔离和微分段技术,100%保护其生产网络和连接到网络的系统的安全。这将有助于建立更多层次的防御,抵御攻击者。保护工程系统。微软表示,将通过"零信任"和"最小权限"访问策略,确保对源代码的访问百分之百安全。任何部署到生产环境中的源代码也将受到安全最佳实践的保护,测试环境也将具有标准化的安全和基础架构隔离。监控和检测威胁。微软承诺将100%的安全日志保留两年,并向客户提供六个月的"适当日志"。它还将自动检测并"快速"响应微软100%的生产基础设施和服务中的可疑访问或配置更改。加快响应和修复。这里的目标是通过更"及时的修复"来防止未修补的漏洞被利用。微软承诺通过采用通用弱点枚举(CWE)和通用平台枚举(CPE)行业标准,缩短修复"高严重性"云安全漏洞所需的时间,并提高这些问题的透明度。所有这些目标都与微软领导层的一些薪酬挂钩,是对最近俄罗斯黑客入侵事件和网络安全审查委员会建议的明确而直接的回应。微软目前正在协调其工程团队,在全公司范围内分批完成这项工作。贝尔说:"这些工程计划涉及Azure云、Windows、Microsoft365和安全团队,每周还有其他产品团队加入这一进程。"微软已经在实现其雄心勃勃的安全目标方面取得了进展。该公司已经在微软内部100多万个租户中默认实施了多因素,包括用于开发、测试、演示和生产的租户。到目前为止,它还删除了73万个"已过生命周期或不符合当前SFI标准"的应用程序。在被网络安全审查委员会评为"不合格"之后,这家软件制造商也在努力改善其安全文化。现在,微软的工程主管每周和每月都要召开一次业务会议,与会者包括各种管理层和高层人士,目的是改善微软整个公司的安全思维。微软还为每个产品团队增设了副首席信息安全官(CISO),并将威胁情报团队转为直接向首席信息安全官报告。这意味着工程团队的安全责任更加明确。我曾在上个月报道过,微软内部担心最近的安全攻击会严重破坏人们对公司的信任。贝尔说:"归根结底,微软是靠信任运行的,而这种信任必须得到赢得和维护。作为软件、基础设施和云服务的全球提供商,我们深感有责任为维护世界的安全尽自己的一份力量。我们的承诺是不断改进和适应不断变化的网络安全需求。这是我们的第一要务。"相关文章:前白宫网络政策主管:微软安全管控失败带来美国国家安全威胁一连串黑客攻击风波后微软为产品部门增添安全主管...PC版:https://www.cnbeta.com.tw/articles/soft/1429550.htm手机版:https://m.cnbeta.com.tw/view/1429550.htm
