近日,微软公布其在安全领域的最新进展报告。
今年11月,微软正式启动了“安全未来计划”(Secure Future Initiative, SFI),旨在重塑其安全生态。
此前数月,美国网络安全审查委员会直指微软安全文化薄弱,亟需根本性变革。这一严峻评价成为微软行动的催化剂,公司透露,目前已有相当于34,000名全职工程师全力投入SFI,标志着微软历史上最大规模的网络安全工程努力正式启动。
为强化安全意识,微软上月将安全工作与员工绩效评估紧密相连,每位员工的表现都将依据其安全贡献来评判。
同时,微软根据SFI要求,对安全流程进行了多项关键改进。包括升级Entra ID和Microsoft账户(MSA)系统,利用Azure管理的硬件安全模块来生成、存储及自动轮换访问令牌签名密钥;清理了575万个不活跃租户,以缩小潜在攻击面;并引入具备安全默认设置的新系统,预防遗留系统带来的安全隐患。
此外,微软还优化中央库存系统,以监控99%以上的物理网络,确保固件合规性和日志记录的准确性。审计日志的保留期限也被延长至至少两年。
内部工程团队的个人访问令牌有效期缩短至七天,SSH访问内部工程软件仓库被全面禁用,且能访问关键工程系统的人员数量大幅减少。
如今,微软开始主动公开CVE信息,即便无需客户采取行动,也力求提升透明度。
面对拥有10万名工程师、设计师及项目经理,每日处理数十万工作项目、每月进行数百万次构建的庞大体系,微软通过“正确启动、持续监控、确保合规”的三步走策略实施新标准,确保每个项目从始至终都遵循安全规范。
为加强领导力量,微软成立了网络安全治理委员会,并任命了13位副首席信息安全官(CISO),其中四位为新晋加入的高管,他们各自拥有丰富的行业经验。同时,微软还设立了安全技能学院,为全体员工提供持续培训,强化“安全即日常”的理念。
这一系列举措虽给员工带来了前所未有的安全压力,但微软安全主管查理·贝尔(Charlie Bell)强调:“我们对透明度和行业合作的承诺坚定不移。通过构建这种持续学习与改进的文化,我们正迈向一个安全成为基石的未来。”
然而,微软要彻底重塑其安全形象,赢得公众信任,仍需付出长期而艰巨的努力。
评论