在近年来,微软公司的安全和隐私努力遭受了一系列的挑战。从配置不当的端点、不受控制的安全证书,到弱密码,这些问题都导致或有可能导致敏感数据的泄露。微软因其对这些威胁的响应和披露方式受到了安全研究人员、美国立法者和监管机构的批评。
2024年1月,微软披露了一次被黑事件,这次是由俄罗斯支持的黑客组织Midnight Blizzard所为。该组织能够“侵入一个遗留的非生产测试租户账户”,并获得了长达两个月的微软系统访问权限。
所有这些事件最终导致了美国网络安全审查委员会的一份报告,该报告严厉指责微软的“不充分”的安全文化、其“不准确的公开声明”,以及对“可预防”的安全漏洞的反应。
为了扭转局面,微软在2023年11月宣布了一个名为“安全未来倡议”的计划。作为该倡议的一部分,微软今天宣布了一系列计划和对其安全实践的改变,其中包括已经实施的一些改变。
微软安全执行副总裁查理·贝尔写道:“我们正在将安全作为微软的首要任务,高于一切——高于所有其他功能。我们正在扩大SFI的范围,整合来自CSRB的最新建议以及我们从Midnight Blizzard中学到的经验,以确保我们的网络安全方法保持强大并能适应不断变化的威胁环境。”
作为这些变化的一部分,微软还将使其高级领导团队的薪酬部分取决于公司是否“达到我们的安全计划和里程碑”,尽管贝尔没有具体说明执行薪酬将有多少取决于达到这些安全目标。
微软的帖子描述了三个安全原则(“设计之初就安全”、“默认就安全”和“安全运营”)和六个旨在解决微软系统和开发实践中不同弱点的“安全支柱”。公司表示计划使用“安全管理、抗钓鱼的多因素认证”保护100%的用户账户,对所有应用程序和用户账户执行最小权限访问,改进网络监控和隔离,并至少保留两年的所有系统安全日志,等等。微软还计划在不同的工程团队中安排新的副首席信息安全官,以跟踪他们的进展并向执行团队和董事会报告。
至于微软已经实施的具体修复措施,贝尔写道,微软已经“在微软内部的超过100万个Microsoft Entra ID租户中默认实施了多因素认证的自动执行”,“迄今为止在生产和企业租户中移除了730,000个旧的和/或不安全的应用程序”,扩大了其安全日志记录,并采用了Common Weakness Enumeration (CWE)标准进行其安全披露。
除了贝尔的公开安全承诺外,媒体还获得并发布了微软首席执行官萨提亚·纳德拉的一份内部备忘录,该备忘录再次强调了公司对安全的公开承诺。纳德拉还表示,提高安全性应该优先于添加新功能,这可能会影响微软为Windows 11和其他软件发布的不断变化的调整和改变。
纳德拉写道:“国土安全部网络安全审查委员会(CSRB)关于2023年夏季Storm-0558网络攻击的最新发现,强调了我们公司和客户所面临的威胁的严重性,以及我们抵御这些日益复杂的威胁行为者的责任。如果你面临安全与其他优先事项之间的抉择,你的答案很清楚:做安全。在某些情况下,这将意味着优先考虑安全而不是我们做的其他事情,比如发布新功能或为遗留系统提供持续支持。”
