继此前在今年5月,微软董事长兼CEO塞特亚·纳德拉(Satya Nadella)宣布将安全作为公司的首要任务,并强调“安全未来计划”(Secure Future Initiative,SFI)作为一项全面的跨公司工作(cross-company effort)的重要性后。日前,微软方面公布了截至2024年9月的SFI最新进度报告。
公开信息显示,SFI是微软方面在2023年11月提出的一项广泛的内部工作,旨在提高其产品的安全性。据了解,SFI可使微软的各个部门联合起来,推进网络安全保护。并且SFI有3个支柱,专注于基于人工智能的网络防御、基础软件工程的发展,以及倡导加强应用国际规范,以保护平民免受网络威胁。
据此次的报告显示,为强化安全意识,微软上月将安全工作与员工绩效评估紧密相连,每位员工的表现都将依据其安全贡献来评判。同时微软根据SFI要求,对安全流程进行了多项关键改进。具体而言,升级Entra ID和Microsoft账户(MSA)系统,利用Azure管理的硬件安全模块来生成、存储及自动轮换访问令牌签名密钥;清理了575万个不活跃租户,以缩小潜在攻击面;引入具备安全默认设置的新系统,预防遗留系统带来的安全隐患。
与此同时,微软还优化中央库存系统,以监控99%以上的物理网络,确保固件合规性和日志记录的准确性,且审计日志的保留期限也被延长至至少两年。此外微软内部工程团队的个人访问令牌有效期缩短至七天,SSH访问内部工程软件仓库被全面禁用,且能访问关键工程系统的人员数量大幅减少。
值得一提的是,针对10万名工程师、设计师及项目经理每日处理数十万工作项目,以及每月进行数百万次构建的庞大体系,微软方面通过“正确启动、持续监控、确保合规”的三步走策略实施新标准,确保每个项目从始至终都遵循安全规范。例如,微软成立网络安全治理委员会,并任命13位副首席信息安全官(CISO),其中四位为新晋加入的高管。同时其还设立安全技能学院,为全体员工提供持续培训,强化“安全即日常”的理念。
据微软方面在报告中表示,公司自2004年就开始通过“安全开发生命周期”(SDL)来应用这些原则。据悉,SDL是一种实用的安全方法,由风险驱动且与开发方法或技术无关。按照SDL要求,“安全未来计划”可作为微软范围的大规模活动,以应用3个核心原则、解决漏洞和实施深度防御策略。
对此微软安全主管查理·贝尔(Charlie Bell)强调,“我们对透明度和行业合作的承诺始终坚定不移。通过培养这种不断学习和改进的文化,我们正在打造一个安全不仅是功能,而且是基础的未来”。
截至目前,微软已有相当于34000名全职工程师全力投入SFI,标志着微软历史上最大规模的网络安全工程努力正式启动。
【本文图片来自网络】