2023年11月,我们推出了“安全未来倡议”(SFI),旨在加强微软、客户及整个行业的网络安全防护。2024年5月,我们扩大了该倡议的范围,聚焦六大关键安全支柱,并结合行业反馈和我们的见解进行了优化。自倡议启动以来,我们已投入相当于34,000名全职工程师的工作量来推进SFI,使其成为历史上规模最大的网络安全工程行动。此刻,我们将与你分享首份SFI进展报告中的关键更新和里程碑成果。
01
安全至上,引领未来
在微软,我们深知自身在守护客户与社区未来安全方面肩负的重大使命。因此,安全不仅是口号,更是每位微软员工内化于心、外化于行的信念。我们在培养安全第一的文化方面取得了显著进展:
◉全新治理架构:我们宣布成立网络安全治理委员会,并任命关键安全职能与所有工程部门的副首席信息安全官(Deputy CISO),在首席信息安全官伊戈尔·齐甘斯基(Igor Tsyganskiy)的领导下,形成合力,共同负责公司整体的网络安全风险防控、防御策略与合规管理。
◉全员安全责任制:安全已成为微软每位员工的核心考核指标,并融入绩效评估体系。这不仅增强了每位员工与管理者的安全意识与责任感,更为我们提供了一种记录员工对SFI的贡献、庆祝安全成果的有效机制。
◉安全技能学院:我们推出了安全技能学院,这是一项面向全球所有员工的个性化学习平台,提供精心挑选的安全培训课程。通过这一平台,无论员工身处何职,都能深刻理解自身在保障微软安全中的直接作用,将安全理念融入日常工作的每一个环节。
◉高层领导引领:为确保最高级别的问责制与透明度,微软高层领导团队每周审视SFI进展,每季度向董事会汇报最新动态。更值得一提的是,高层领导团队的薪酬结构现已与安全绩效直接挂钩,彰显了我们对安全承诺的坚定与决心。
02
六大支柱,筑牢安全防线
在六大核心安全支柱的引领下,我们取得了显著进展,每个支柱均聚焦于网络安全的关键领域,指导我们持续提升微软整体安全水平,灵活应对不断变化的安全挑战。以下是各支柱的最新动态:
01 | 身份与机密信息保护
我们更新了Microsoft Entra ID与Microsoft Account(MSA)在公共云的应用,采用Azure托管硬件安全模块(HSM)服务,实现访问令牌签名密钥的生成、存储与自动轮换。我们持续推动标准身份软件开发工具包(SDK)的广泛采用,为超过73%的微软自有应用程序签发的令牌提供安全令牌一致验证。同时,我们扩展了标准身份SDK中的标准化安全令牌日志记录功能,支持威胁搜寻与检测,并在多个关键服务中提前启用,以期广泛采纳。此外,我们已在生产环境中强制执行防钓鱼凭据使用,并在生产力环境中为95%的微软内部用户实施了基于视频的用户验证,有效消除设置与恢复过程中的密码共享风险。
02 | 租户与生产系统隔离
我们完成了所有生产和生产力租户的应用程序生命周期管理的全面迭代,清理了730,000个未使用的应用程序,消除了575万个不活跃的租户,极大地减少了潜在的网络攻击面。我们实施了一个新系统,以简化测试和实验租户的创建,同时强制执行安全默认设置和严格的生命周期管理。在过去三个月中,我们已部署了15,000多台新的用于生产系统的特定设备。
03 | 网络安全防护
我们已将生产网络上超过99%的物理资产纳入中央库存系统,通过跟踪资产所有权与固件合规性,丰富资产库存信息。同时,我们已将具有后端连接的虚拟网络与微软企业网络隔离,并接受全面安全审查,有效减少横向移动风险。为帮助客户提升其部署的安全性,我们扩展了平台功能,如管理规则,简化平台即服务(PaaS)资源(如Azure Storage、SQL、Cosmos DB和Key Vault)的网络隔离。
04 | 工程系统保护
在商业云的生产构建管道中,我们已有85%开始采用集中管理的管道模板,实现部署的一致、高效与可靠。我们将个人访问令牌的寿命缩短至七天,禁用了所有微软内部工程存储库的安全外壳(SSH)协议访问,并大幅削减了能够访问工程系统的高权限角色数量。同时,我们还对软件开发代码流程中的关键瓶颈点实施了存在证明检查,确保安全无虞。
05 | 威胁监控与检测
我们在一项新标准上取得显著突破:确保微软所有生产基础设施与服务采用标准库进行安全审计日志、发出相关遥测数据,并至少保留两年的日志。例如,我们为身份基础设施安全审计日志建立了集中管理与两年的保留期,涵盖当前签名密钥生命周期内的所有安全审计事件。目前,超过99%的网络设备已启用集中的安全日志收集与保留功能。
06 | 加速响应与修复
我们优化了微软内部流程,大幅缩短了缓解关键云漏洞所需的时间。我们开始发布关键云漏洞作为常见漏洞和暴露(CVE),无需客户采取行动,也能够提高透明度。我们成立了客户安全管理办公室(CSMO),旨在改进安全事件的公共沟通与客户参与,共同应对挑战。
03
重申我们对安全的坚定承诺
在安全领域,我们深知“持续进步”远比“追求完美”重要,这一理念在我们为实现“安全未来倡议(SFI)”目标所投入的资源规模中得到了鲜明体现。我们团结一致,不断提升防护水平、淘汰老旧或不合规资产,并全面排查仍需重点监控的系统,以此作为衡量我们成功的重要标尺。展望未来,我们矢志不渝地追求持续改进,SFI也将随之不断进化,灵活应对新兴的网络威胁,并不断优化我们的安全实践。
迄今为止,我们所取得的成就仅仅是万里征途的第一步。我们深知,网络威胁还会如影随形、持续演变,我们也必须不断进化。通过培育这种持续学习、不断进取的文化氛围,我们正在携手共筑一个更加安全的未来:安全不再仅仅是产品的附加功能,而是成为支撑一切发展的坚实基石。
要应对不断变化的网络威胁,唯有持续学习才能保持领先优势。11月5日-7日微软安全 X AI 全景训练营诚邀您加入, 我们将为您呈现3天15场安全议题,深入探讨AI时代的安全挑战与解决方案,助力您在AI时代构筑坚实的安全防线。点击文末“阅读原文”,注册活动,开启您的安全新征程!