2024 年 5 月,首席执行官萨蒂亚·纳德拉 (Satya Nadella) 向微软员工分享了以下信息。
去年 11 月,我们启动了安全未来计划(SFI),为应对规模和风险不断增加的网络攻击做好准备。 SFI 汇集了 Microsoft 的各个部门,以推进我们公司和产品的网络安全保护。
从那时起,威胁形势持续快速发展,我们学到了很多东西。美国国土安全部网络安全审查委员会 (CSRB) 关于去年 7 月发生的 Storm-0558 网络攻击以及我们 1 月份报告的午夜暴雪攻击的最新调查结果强调了我们公司和客户面临的威胁的严重性。
微软在世界数字生态系统中发挥着核心作用,而这也意味着赢得和维持信任的关键责任。我们必须而且将会做得更多。
我们将安全性作为 Microsoft 的首要任务,高于所有其他功能。我们正在扩大 SFI 的范围,整合 CSRB 的最新建议以及我们从 Midnight Blizzard 中获得的经验教训,以确保我们的网络安全方法保持稳健并适应不断变化的威胁形势。
我们将在整个 Microsoft 范围内调动扩展的 SFI 支柱和目标,这将成为我们招聘决策的一个维度。此外,我们将根据我们在实现安全计划和里程碑方面的进展情况来确定公司高级领导团队的部分薪酬,从而灌输问责制。
以下细节展示了我们工作的严肃性和承诺。
我们已经发展了我们的安全方法,未来我们的工作将遵循以下三个安全原则:
通过在所有身份和秘密基础设施以及用户和应用程序身份验证和授权中实施和执行一流的标准,降低未经授权的访问风险。作为其中的一部分,我们正在采取以下行动:
使用一致、一流的安全实践和严格隔离来保护所有 Microsoft 租户和生产环境,以最大程度地减少影响范围。作为其中的一部分,我们正在采取以下行动:
保护 Microsoft 生产网络并实现 Microsoft 和客户资源的网络隔离。作为其中的一部分,我们正在采取以下行动:
通过对软件供应链和工程系统基础设施的治理,保护软件资产并不断提高代码安全性。作为其中的一部分,我们正在采取以下行动:
全面覆盖并自动检测对 Microsoft 生产基础设施和服务的威胁。作为其中的一部分,我们正在采取以下行动:
通过全面、及时的修复,防止外部和内部实体发现的漏洞被利用。作为其中的一部分,我们正在采取以下行动:
我们正在通过新的运营模式进行新的协调来实现这些目标,该模式使领导者和团队与 SFI 的六大支柱保持一致,以全面推动安全并打破传统的孤岛。支柱领导者正在与工程执行副总裁 (EVP) 合作,以推动集成的、跨公司的工程执行,分阶段完成这项工作。这些工程浪潮涉及 Microsoft Azure、Windows、Microsoft 365 和安全团队,每周还会有其他产品团队集成到该流程中。
虽然还有很多工作要做,但我们在执行 SFI 优先事项方面已经取得了进展。例如,我们默认在 Microsoft 内超过一百万个 Microsoft Entra ID 租户(包括用于开发、测试、演示和生产的租户)中自动实施多因素身份验证。迄今为止,我们已在生产和企业租户中删除了 730,000 个超出生命周期或不符合当前 SFI 标准的应用程序,从而消除或减少了应用程序目标。我们扩大了日志记录范围,为客户提供更深入的可见性。我们最近宣布了我们的响应流程的重大转变:我们现在使用 CWE™ 行业标准发布 Microsoft CVE 的根本原因数据。
铺好的道路是我们从经验中汲取的最佳实践,借鉴了如何优化软件开发和运营的生产力、如何实现合规性(例如软件材料清单、萨班斯-奥克斯利法案、通用数据保护条例等) ),以及如何消除整个类别的漏洞并减轻相关风险。当采用显着改善开发人员或运营体验或安全性、质量或合规性时,铺好的道路就成为标准。
通过 SFI,我们为六个安全支柱中的每一个明确定义标准,并且对这些标准的遵守情况将作为目标和关键结果 (OKR) 进行衡量。
安全未来计划使整个 Microsoft 能够实施所需的更改,以首先提供安全性。我们的公司文化基于培养持续改进精神的成长心态。我们不断寻求反馈和新观点来调整我们的方法和进展。我们将从安全事件中汲取经验教训,将其反馈到我们的安全标准中,并将这些经验教训付诸实践,为实现大规模安全设计和运营铺平道路。
我们还采取重大措施来提升安全治理,包括多项组织变革以及额外的监督、控制和报告。
Microsoft 正在实施由首席信息安全官 (CISO) 牵头的新安全治理框架。该框架引入了工程团队和新成立的副 CISO 之间的合作伙伴关系,共同负责监督 SFI、管理风险并直接向高级领导团队报告进展情况。该执行论坛每周都会审查进展情况,董事会每季度都会审查进展情况。
最后,考虑到威胁情报的重要性,我们将全面的民族国家行为者和威胁追踪能力引入 CISO 组织。
文化只能通过我们的日常行为来强化。安全是一项团队运动,只有克服组织界限才能最好地实现。工程执行副总裁与 SFI 支柱领导人密切协调,举行大规模的每周和每月运营会议,其中包括各级管理层和高级个人贡献者。这些会议致力于根据我们共同向客户交付的内容来详细执行和持续改进安全性。通过这种自下而上、端到端的问题解决过程,安全思维已根植于我们的日常行为中。
最终,Microsoft 的运行依赖于信任,并且必须赢得并维持这种信任。作为软件、基础设施和云服务的全球提供商,我们深感责任重大,有责任尽自己的一份力量,保障世界的安全。我们的承诺是不断改进和适应网络安全不断变化的需求。这是我们的首要任务。