Source: The Verge
微软正在将安全性作为每位员工的首要任务,此举是对多年来的安全问题和不断增加的批评的回应。最近美国网络安全评审委员会发布了严厉的报告,指出“微软的安全文化不足,需要改革”,微软正在制定一套安全原则和目标,并将其与公司高层领导团队的补偿方案联系在一起。微软在去年十一月宣布了一项安全未来计划 (SFI),以应对公司面临的中国骇客入侵美国政府电子邮件帐户的压力。就在宣布这一计划几天后,俄罗斯骇客成功闯入微软的防御系统,对一些微软高层的电子邮件进行了监视。微软直到近两个月后的一月才发现这次攻击,同一组织甚至继续窃取代码。最近的这些攻击造成了严重损失,而网络安全评审委员会的报告最近进一步助长了微软的安全之火,认为公司本可以阻止 2023 年美国政府邮件帐户被入侵的事件,但一系列安全失败导致了该事件发生。微软的执行副总裁查理·贝尔在一篇今天的博客文章中解释说:“在微软,我们正在将安全性视为首要任务,高于一切其他事项——高于所有其他功能。
贝尔还表示: “我们将通过将公司高层领导团队的一部分补偿与我们在实现安全计划和里程碑方面的进展联系起来,来建立问责制。微软现在有三个安全原则,这些原则是这些目标的重要组成部分:通过设计确保安全;默认状态下保持安全;确保运营安全。这些原则旨在在产品和服务的设计阶段优先考虑安全性,将更多的注意力放在默认启用的保护措施上,提高对当前和未来威胁的控制和监控。微软的更广泛目标得到了“六个优先安全支柱”的支持,这是对微软需要大大改进的公司用语:所有这些目标都与微软的领导人员的某些补偿措施密切相关,并直接回应了最近俄罗斯骇客的入侵和网络安全评审委员会的建议。微软现在正在协调其工程团队按部门完成这项工作。这些工程波涉及到 Azure 云、Windows、微软 365 和安全等各个部门的团队,每周还有更多的产品团队加入其中,”贝尔说道。
微软已经在实现其雄心勃勃的安全目标方面取得了进展。该公司已经在超过一百万个自有租户中实现了多因素默认验证,包括用于开发、测试、演示和生产的租户。到目前为止,微软还清除了 730,000 个“已过期或未满足当前 SFI 标准”的应用程序。这家软件制造商还在试图改进其安全文化,在被网络安全评审委员会谴责为“不足”后。微软的工程领导现在每周和每月举行管理和高阶人员参加的运营会议,旨在提高公司各个部门的安全性思维。微软还为每个产品团队增设副首席信息安全官 (CISO),并将其威胁情报团队直接报告给 CISO。
这意味著工程团队在安全方面有明确的责任。我上个月报导说,在微软内部,人们担心最近的安全攻击可能会严重损害对公司的信任。最终,微软是凭借信任运作,这种信任必须得到并保持,”贝尔表示。作为全球软件、基础设施和云服务提供商,我们深感负有责任,为维护世界的安全而尽一份力。我们的承诺是不断改进并适应不断变化的网络安全需求。这是我们最重要的工作。
作为数字时代的巨头,微软在安全性上的投入不仅关乎自身利益,也对全球数位安全产生深远影响。" } ```