微軟近日發(fā)布了"安全未來計劃"(Secure Future Initiative，SFI)的第二份進展報告，這項被稱為公司史上最大規(guī)模網(wǎng)絡安全工程的計劃由微軟安全執(zhí)行副總裁查理·貝爾(Charlie Bell)領導，已累計投入相當于3.4萬名工程師全職工作11個月的工作量，旨在強化微軟自身、客戶及整個行業(yè)的安全防護。

全員安全文化轉(zhuǎn)型

為應對關鍵網(wǎng)絡安全風險而啟動的SFI計劃，著重在微軟全體員工中培育安全優(yōu)先的文化。目前每位員工都將"安全核心優(yōu)先事項"納入績效考核，99%的員工已完成《安全基礎與可信代碼》必修培訓。超過5萬名員工參加了微軟安全學院(Microsoft Security Academy)的網(wǎng)絡安全技能提升課程。

"這種轉(zhuǎn)變的核心是賦能，"貝爾強調(diào)，"我們的目標是讓所有員工都具備保護客戶的能力。"

產(chǎn)品安全創(chuàng)新實踐

微軟工程團隊基于"設計安全、默認安全、運營安全"(Secure by Design, Default, and in Operations)原則推出多項創(chuàng)新成果。其中，經(jīng)過20個產(chǎn)品團隊測試、部署給2.2萬名員工并對外公開的"安全設計用戶體驗工具包"(Secure by Design UX Toolkit)尤為突出，該工具包將安全最佳實踐嵌入產(chǎn)品開發(fā)全流程，幫助團隊識別漏洞并確定修復優(yōu)先級。

在Azure、Microsoft 365、Windows和微軟安全產(chǎn)品中，團隊新增了11項安全功能以增強默認防護能力。人工智能開發(fā)方面，微軟通過新成立的"生成式人工智能安全與保障組織"(Artificial Generative Intelligence Safety and Security Organization)實施專項安全審查。《負責任AI透明度報告》中詳述的安全運營實踐，現(xiàn)已成為所有AI系統(tǒng)的標準配置。通過新政策和檢測模型，這些措施還成功攔截了價值40億美元的欺詐企圖。

全面強化威脅防御

報告特別展示了在身份、網(wǎng)絡和系統(tǒng)防護方面的重要進展。繼2023年Storm-0558攻擊事件后，微軟已將Entra ID和微軟賬戶(MSA)的令牌簽名密鑰遷移至基于硬件的安全模塊(HSM)和Azure機密虛擬機，并實施自動輪換及新的縱深防御措施。目前微軟應用程序90%以上的身份令牌使用強化版身份軟件開發(fā)工具包，92%的員工賬戶采用防釣魚多因素認證。

通過將88%的資源遷移至Azure資源管理器、清理630萬個閑置租戶，以及限制440萬個托管身份只能在特定網(wǎng)絡位置進行認證，微軟有效降低了橫向移動風險。網(wǎng)絡安全方面，99%的資產(chǎn)已完成清點，并新增網(wǎng)絡安全邊界(Network Security Perimeter)和DNS安全擴展等防護功能。

微軟的威脅檢測與響應能力顯著提升，針對主流攻擊戰(zhàn)術、技術和程序(TTP)新增200余項檢測規(guī)則，這些規(guī)則將集成至Microsoft Defender。公司現(xiàn)已對97%的生產(chǎn)基礎設施資產(chǎn)實施集中追蹤，并執(zhí)行安全日志兩年留存政策。通過"零日探索"(Zero Day Quest)計劃，微軟主動發(fā)現(xiàn)云和AI系統(tǒng)中的180個漏洞，并將緩解方案擴展至更多產(chǎn)品和環(huán)境。

企業(yè)級風險管理體系

為加強企業(yè)級風險管理，微軟新設業(yè)務應用副首席信息安全官(Deputy CISO)職位，并整合Microsoft 365等部門的安監(jiān)職能。14位副CISO已完成風險清單梳理，形成統(tǒng)一的安全優(yōu)先級視圖。這一治理框架確保安全理念貫穿組織各個層級。

在SFI計劃的28項目標中，已有5項接近完成，11項取得重大進展。該計劃顯著提升了微軟平臺的安全性、威脅檢測能力和客戶保護水平。"我們的平臺和服務比以往任何時候都更安全，"貝爾表示，"這既造福微軟，也惠及我們的客戶。"

微軟還積極與安全研究社區(qū)合作，共享"安全設計用戶體驗工具包"等工具以提升行業(yè)標準。完整版SFI進展報告現(xiàn)已發(fā)布，詳細闡述了各項成果及微軟對網(wǎng)絡安全的持續(xù)承諾。