美国政府有个微软问题前白宫网络政策高级总监 A.J. Grotto 认为美国政府有个微软问题：微软是美国国家安全的威胁。微软的网

美国政府有个微软问题 前白宫网络政策高级总监 A.J. Grotto 认为美国政府有个微软问题：微软是美国国家安全的威胁。微软的网络安全问题影响到了美国政府，如中国俄罗斯黑客都是通过微软产品入侵美国政府机构访问政府官员的邮箱。Grotto 称，微软对美国政府有巨大的影响力，而该公司并不慑于使用。他估计美国 85% 的政府生产力软件来自微软，Windows 操作系统所占份额更大，“微软在很多方面锁定了政府，它能将与安全漏洞相关的大量成本转嫁给联邦政府。”他希望美国政府能鼓励更多的竞争。来源 ， 频道：@kejiqu 群组：@kejiquchat

一连串黑客攻击风波后 微软为产品部门增添安全主管

一连串黑客攻击风波后 微软为产品部门增添安全主管 自2015年以来一直担任微软安全高管的安-约翰逊（Ann Johnson）被任命为负责客户拓展和监管行业的副首席信息安全官，并将向茨冈斯基汇报工作。总部位于华盛顿州雷德蒙德的微软公司在一封电子邮件中说，约翰逊的工作重点是"客户参与和有关微软自身安全的沟通"。今年年初，一个俄罗斯国家支持的黑客组织被指控窃取了微软高层管理人员的电子邮件账户，这促使该公司重新分配了数千名工程师，以帮助减少入侵并加快安全更新。2023 年 5 月，一个被认为与中国政府有关联的黑客团伙被指控窃取了微软的一个访问工具，并利用它侵入了美国商务部长吉娜-雷蒙多（Gina Raimondo）、美国驻华大使尼古拉斯-伯恩斯（Nicholas Burns）等数百人的电子邮件账户 。上个月，美国网络安全审查委员会发布了一份严厉的报告，记录了该公司无力阻止与中国有关的黑客攻击，并呼吁微软进行紧急改革。美国参议员罗恩-怀登（Ron Wyden）于 4 月 8 日提出立法草案，要求政府为协作软件制定强制性网络安全标准，理由是微软的网络安全"漏洞百出"。微软于 11 月发布了"安全未来计划"（Secure Future Initiative），这是自 2002 年联合创始人比尔-盖茨（Bill Gates）停止 Windows 开发并命令工程师将产品安全置于新功能之上以来，微软最重要的安全计划。但一些竞争对手、政府官员和客户质疑新计划是否足够深入。最新的一系列变化旨在解决这样一个问题，即在增加新功能并在人工智能等领域与竞争对手一决高下的同时，如何让每个产品组都关注安全问题。微软首席执行官萨蒂亚-纳德拉（Satya Nadella）上周在与投资者的通话中表示，公司现在"将安全放在首位"。相关文章:微软称俄罗斯黑客监视其高管后窃取了源代码微软最近连续发生的网络安全问题已引起美国政府客户的担忧微软将包含员工凭证的服务器暴露在互联网上长达一个月之久美国政府证实俄罗斯黑客对微软实施网络攻击 窃取了政府电子邮件前白宫网络政策主管：微软安全管控失败带来美国国家安全威胁微软正在将安全改进作为公司当前的首要任务 ... PC版： 手机版：

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指

微软将安全作为每位员工的首要任务，这是在多年的安全问题和日益增加的批评之后做出的决定。美国网络安全审查委员会最近的一份严厉报告指出，“微软的安全文化不足，需要彻底改革”，微软正是通过制定一系列与高级领导团队的薪酬套餐挂钩的安全原则和目标来做到这一点。 我们将安全作为微软的首要任务，高于一切其他功能。我们将通过将公司高级领导团队的部分薪酬与我们在实现安全计划和里程碑的进展挂钩来确保责任制。 去年 11 月，微软宣布启动“安全未来倡议”（SFI），以应对公司面临的压力，回应允许中国黑客入侵美国政府电子邮件账户的攻击。仅在宣布这一倡议的几天后，俄罗斯黑客就突破了微软的防御，窃取了一些微软高级领导团队成员的电子邮件账户信息。微软直到 1 月份，近两个月后才发现这次攻击，而且同一组织甚至还窃取了源代码。 这些最近的攻击造成了严重的损害，网络安全审查委员会的报告最近进一步指出微软的安全问题，得出结论称该公司本可以防止 2023 年美国政府电子邮件账户的泄露，而一系列的安全失误导致了这一事件。 微软现在有三个安全原则，这些原则是这些目标的重要组成部分：安全设计；默认安全；安全操作。这些原则旨在在产品和服务的设计阶段优先考虑安全，更加注重默认启用的保护措施，并改善对当前和未来威胁的控制与监控。 1. 保护身份和机密信息。微软承诺将在其身份和机密信息基础设施中实施“最佳行业标准”，确保 100%的用户账户通过多因素认证得到保护，以及 100%的应用程序通过像证书这样的管理凭据得到保护。 2. 保护租户并隔离生产系统。微软在这方面采取了一种方法，确保只有健康、受管理且安全的设备能够访问公司的服务集，同时对所有应用程序实施最小权限访问模式（即最低级别的访问权限或权限）。 3. 保护网络。微软承诺将通过对所有生产环境应用隔离和微分段技术，来确保其 100%的生产网络和系统的安全。这应该有助于增加针对攻击者的额外防御层。 4. 微软表示，它将通过零信任和最小权限访问策略，100%保护对其源代码的访问。任何部署到生产环境中的源代码也将受到安全最佳实践的保护，测试环境也将实施标准化的安全和基础设施隔离。 5. 监控并检测威胁。微软承诺将保留 100%的安全日志两年时间，并向客户提供六个月的“适当日志”。同时，微软还将自动检测并“迅速”响应其全部生产基础设施和服务中的可疑访问或配置更改。 6. 加快响应和修复速度。这里的目标是通过更“及时的修复”来防止未修补的漏洞被利用。微软承诺将缩短修复“高严重性”云安全漏洞的时间，并通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，增加这些问题的透明度。 微软现在正在协调其工程团队，分批次完成这项工作。贝尔表示：“这些工程分批涉及到 Azure 云、Windows、Microsoft 365 和安全等团队，每周还有更多的产品团队加入这一流程。” 标签: #微软 #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

美FBI局长担忧TikTok威胁美国国家安全

美FBI局长担忧TikTok威胁美国国家安全 在美国参议院准备通过一项针对中国短视频应用TikTok的法案之际，联邦调查局局长强调，他对这款流行中国应用对美国国家安全的威胁感到担忧。 法新社报道，美国联邦调查局（FBI）局长克里斯托弗·雷星期二（4月23日）接受全国广播公司（NBC）访问时说，TikTok母公司字节跳动“受制于中国政府”，中国政府“每天都试图窃取我们的人工智能（AI）和破解美国技术”。 克里斯托弗·雷说，美国人必须深思的是，TikTok的“权力、准入、能力、控制”都掌握在中国政府及他们的情报部门手中。 TikTok坚决否认与中国政府分享任何用户信息。 美国参议院有望在星期二晚上通过总值950亿美元（约1300亿新元）的四项立法配套，包括耽搁已久的乌克兰、以色列和台湾军事援助法案，以及要求TikTok从中国公司字节跳动剥离的法案。依照法案，如果TikTok不从字节跳动剥离，将被禁止在美国继续运作。 2024年4月24日 7:06 AM

经历一系列事故后 微软全面改革将安全视为"重中之重"

经历一系列事故后 微软全面改革将安全视为"重中之重" 去年 11 月，微软宣布了一项"安全未来计划"（Secure Future Initiative，SFI），以应对公司在应对中国黑客入侵美国政府电子邮件账户的攻击方面所面临的越来越大的压力。就在宣布该计划的几天后，俄罗斯黑客成功攻破了微软的防御系统，并窥探了微软高级领导团队部分成员的电子邮件账户。微软直到将近两个月后的 1 月份才发现这一攻击，而同一组织甚至继续窃取源代码。最近的这些攻击具有破坏性，网络安全审查委员会的报告最近对微软的安全问题火上浇油，认为该公司本可以防止 2023 年发生的美国政府电子邮件账户外泄事件，是"一连串的安全故障"导致了这一事件的发生。微软负责安全事务的执行副总裁查理-贝尔（Charlie Bell）在今天的一篇博客文章中解释说："我们将安全作为微软的首要任务，它高于其他一切事务。我们将根据我们在实现安全计划和里程碑方面的进展情况来确定公司高级领导团队的部分薪酬，以此来灌输责任感。"微软现在有三个安全原则，它们是这些目标的重要组成部分：设计安全、默认安全和操作安全。这些原则的目的是在产品和服务的设计阶段将安全放在首位，更加注重默认启用的保护措施，并改进对当前和未来威胁的控制和监控。六大优先安全支柱"强调了更广泛的目标，这也是微软需要大力改进的地方：保护身份和机密。微软承诺将在其身份和机密基础架构中实施"同类最佳标准"，从而使 100% 的用户账户受到多因素身份验证的保护，100% 的应用程序受到证书等托管凭证的保护。保护租户，隔离生产系统。微软正在采取一种方法，确保只有健康、受管理和安全的设备才能访问公司自己的服务集，同时为 100% 的应用程序提供最少权限访问模型（最低访问级别或权限）。保护网络。微软承诺通过在所有生产环境中应用隔离和微分段技术，100% 保护其生产网络和连接到网络的系统的安全。这将有助于建立更多层次的防御，抵御攻击者。保护工程系统。微软表示，将通过"零信任"和"最小权限"访问策略，确保对源代码的访问百分之百安全。任何部署到生产环境中的源代码也将受到安全最佳实践的保护，测试环境也将具有标准化的安全和基础架构隔离。监控和检测威胁。微软承诺将 100% 的安全日志保留两年，并向客户提供六个月的"适当日志"。它还将自动检测并"快速"响应微软 100% 的生产基础设施和服务中的可疑访问或配置更改。加快响应和修复。这里的目标是通过更"及时的修复"来防止未修补的漏洞被利用。微软承诺通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，缩短修复"高严重性"云安全漏洞所需的时间，并提高这些问题的透明度。所有这些目标都与微软领导层的一些薪酬挂钩，是对最近俄罗斯黑客入侵事件和网络安全审查委员会建议的明确而直接的回应。微软目前正在协调其工程团队，在全公司范围内分批完成这项工作。贝尔说："这些工程计划涉及 Azure 云、Windows、Microsoft 365 和安全团队，每周还有其他产品团队加入这一进程。"微软已经在实现其雄心勃勃的安全目标方面取得了进展。该公司已经在微软内部 100 多万个租户中默认实施了多因素，包括用于开发、测试、演示和生产的租户。到目前为止，它还删除了 73 万个"已过生命周期或不符合当前 SFI 标准"的应用程序。在被网络安全审查委员会评为"不合格"之后，这家软件制造商也在努力改善其安全文化。现在，微软的工程主管每周和每月都要召开一次业务会议，与会者包括各种管理层和高层人士，目的是改善微软整个公司的安全思维。微软还为每个产品团队增设了副首席信息安全官（CISO），并将威胁情报团队转为直接向首席信息安全官报告。这意味着工程团队的安全责任更加明确。我曾在上个月报道过，微软内部担心最近的安全攻击会严重破坏人们对公司的信任。贝尔说："归根结底，微软是靠信任运行的，而这种信任必须得到赢得和维护。作为软件、基础设施和云服务的全球提供商，我们深感有责任为维护世界的安全尽自己的一份力量。我们的承诺是不断改进和适应不断变化的网络安全需求。这是我们的第一要务。"相关文章:前白宫网络政策主管：微软安全管控失败带来美国国家安全威胁一连串黑客攻击风波后 微软为产品部门增添安全主管 ... PC版： 手机版：

美国白宫将调查中国联网汽车带来的国家数据安全风险

美国白宫将调查中国联网汽车带来的国家数据安全风险 中国汽车与用户的智能手机、导航工具、重要的基础设施及其制造商都有联系。因此，乔-拜登总统认为，这些设备有能力向中国发回情报。因此，拜登政府要求美国商务部对使用来自相关国家（尤其是中国）技术的汽车进行调查和监管。新闻稿还强调，由于这些设备与制造这些设备的公司相关联，因此它们也可能被远程访问或禁用，从而威胁到用户的人身安全。新闻稿还说："如果外国政府获得这些车辆的系统或数据，联网汽车可能会出现新的漏洞和威胁。互联汽车会收集大量关于驾驶员和乘客的敏感数据；定期使用摄像头和传感器记录美国基础设施的详细信息；直接与关键基础设施互动；并且可以远程驾驶或禁用。依靠来自包括中华人民共和国在内的相关国家的技术和数据系统的互联汽车可能会被利用，从而威胁到国家安全"。乔-拜登总统认为，中国对美国汽车实施了限制，因此美国也必须对等地对中国汽车实施管制。根据命令，美国商务部通过了《拟议制定规则的预先通知》（ANPRM），该通知将对美国正在使用的联网汽车中采用的技术所带来的安全和数据安全风险进行监控。新闻稿强调，这是行政命令首次敦促商务部工业与安全局（BIS）采取行动，保护"国内信息和通信技术与服务供应链免受国家安全威胁"。 ... PC版： 手机版：