Charlie Bell,微软安全全球执行副总裁
2023 年 11 月,微软推出“安全未来计划”(Secure Future Initiative,SFI),以促进对微软、客户以及行业的网络安全保护。2024 年 5 月,结合行业反馈和自身洞察,我们拓展该计划,聚焦六大关键安全支柱。自该计划启动以来,微软投入了相当于 34,000 名全职工程师的力量,使其成为史上规模最大网络安全工程计划。现在,我们将分享第一份 SFI 进展报告(SFI Progress Report)中的关键更新和里程碑。
安全至上
在微软我们意识到,我们肩负着保护客户和社区未来的特别责任。正因如此,微软的每一人都在“安全至上”方面发挥着至关重要的作用。在培养“安全为先文化”方面,我们已取得了重大进展,一切重要更新包括:
- 为了提升治理效果,我们于今日宣布成立一个新的网络安全治理委员会(Cybersecurity Governance Council),并任命多名负责关键安全职能和所有工程部门的副首席信息安全官(Deputy Chief Information Security Officers, Deputy CISOs)。在公司首席信息安全官 Igor Tsyganskiy 的领导下,副首席信息安全官们组成了网络安全治理委员会,负责公司的整体网络风险、防御与合规。
- 安全现已成为微软所有员工的核心优先事项,并将被纳入员工的绩效考核。这不仅会促使每位员工和管理者将安全放在首位,也将成为记录员工对 SFI 所做贡献并表彰其影响力的一种方式。
- 我们推出了 “安全技能学院”(Security Skilling Academy),通过为全球员工提供专门的安全培训,带来个性化的学习体验。该学院将确保员工无论担任何种职务,都能在日常工作中优先考虑安全问题,并明确自己在确保微软安全方面的直接责任。
- 为了确保最高层级的问责制和透明度,微软的高级领导团队每周都会审查 SFI 的进展情况,并在每一季度向微软董事会提供最新信息。此外,微软高级领导团队也将接受安全绩效考核,并与其薪酬直接挂钩。
支柱亮点: 全面的网络安全方法
我们在“六大支柱”方面也取得了进展,每个支柱都代表了网络安全的一个关键领域。这些支柱指导我们不断提高微软的安全标准,并帮助我们满足安全领域不断变化的需求。以下是这些领域的最新更新:
- 保护身份和机密:我们完成了对公有云服务的Microsoft Entra ID 和 Microsoft Account (MSA) 更新,用Azure 托管硬件安全模块 (HSM) 服务生成、存储和自动轮换访问令牌签名密钥。我们持续推动标准身份 SDK的广泛应用,通过这些 SDK 提供一致的安全令牌验证。目前,这种标准化验证已经覆盖了超过73%的Microsoft Entra ID签发的、用于微软自有应用程序的令牌。我们还在标准身份 SDK 中扩展了标准化的安全令牌日志,以支持威胁狩猎和检测,并在其广泛应用之前在几个关键服务中启用了这些功能。我们完成了在生产环境中使用防钓鱼凭证的执行工作,并在生产力环境中对 95% 的微软内部用户实施了基于视频的用户验证,以消除设置和恢复过程中的密码共享。
- 保护租户,隔离生产系统:针对用于所有生产和生产力租户的应用程序,我们完成了其生命周期管理的全面迭代,消除了730,000个未使用应用程序。我们还清除了 575 万个不活跃租户,大大减少了潜在网络攻击面。我们实施了新的系统,通过安全默认设置和严格的生命周期管理,简化了测试和实验租户的创建过程。在过去三个月中,我们部署了超过 15,000 台新的生产就绪的锁定设备。
- 保护网络:在生产网络中,超过 99% 的物理资产都记录在中央库存系统,系统通过所有权和固件合规追踪丰富资产库存。具有后端连接的虚拟网络与微软公司网络隔离,并接受全面的安全审查,以减少横向移动。为了帮助客户保证自身部署的安全,我们扩展了Admin Rules等平台功能,以简化Storage、SQL、Cosmos DB 和 Key Vault 等平台即服务(PaaS)资源的网络隔离。
- 保护工程系统:现在,我们 85% 的商业云生产构建管道都在使用集中管理的管道模板,从而使部署更加一致、高效和可信。我们已将Personal Access Tokens的有效期缩短至七天,禁用了对微软所有内部工程报告的 SSH 协议访问权限,并大幅减少了可访问工程系统的高级角色的数量。针对软件开发代码流程中的关键卡点,我们还实施了存在性证明检查。
- 监控和检测威胁:在强制所有微软生产基础架构和服务采用安全审计日志标准库方面,我们已经取得了重大进展,从而确保发出相关遥测,并将日志保留至少两年。例如,我们为身份基础架构安全审计日志建立了集中管理和两年的保留期,包括当前签名密钥整个生命周期内的所有安全审计事件。类似情况还有99% 以上的网络设备都启用了集中安全日志的收集和保留功能。
- 加速响应和修复:在微软,我们更新了流程,以提升关键云漏洞的修复时间。尽管不需要客户采取行动,我们仍开始将关键云漏洞作为常见漏洞和暴露(CVEs)发布,以提高透明度。我们还成立了客户安全管理办公室 (Customer Security Management Office, CSMO),以提升安全事件的公共信息传递和客户参与度。
重申我们的安全承诺
在安全方面,持续进步比 “完美 ”更重要,这也体现在微软为实现SFI目标而调动的资源规模上。不断强化保护、消除遗留或不合规资产、确定其余监控系统等工作,成为了衡量我们成功与否的有力标准。展望未来,我们将致力于不断提升。SFI 将继续发展,以适应新的网络安全威胁并完善我们的安全实践。我们对透明度和行业协作的承诺依旧坚定不移。
我们迄今为止所做的一切仅仅是个开始。微软深知网络威胁将继续演变,必须与时俱进。通过培养这种不断学习和改进的文化,我们正在构建一个不以安全为特征,而是以安全为根基的未来。
—结束—
关于微软
微软(纳斯达克代码“MSFT” @microsoft)以人工智能赋能创新的解决方案平台和工具,来满足客户不断发展的需求。作为一家技术公司,微软致力于负责任地推广人工智能,以予力全球每一人、每一组织,成就不凡。