安全高于一切——Microsoft 的安全未来计划

2024 年 5 月，首席执行官萨蒂亚·纳德拉 (Satya Nadella) 向微软员工分享了以下信息。

去年 11 月，我们启动了安全未来计划(SFI)，为应对规模和风险不断增加的网络攻击做好准备。 SFI 汇集了 Microsoft 的各个部门，以推进我们公司和产品的网络安全保护。

从那时起，威胁形势持续快速发展，我们学到了很多东西。美国国土安全部网络安全审查委员会 (CSRB) 关于去年 7 月发生的 Storm-0558 网络攻击以及我们 1 月份报告的午夜暴雪攻击的最新调查结果强调了我们公司和客户面临的威胁的严重性。

微软在世界数字生态系统中发挥着核心作用，而这也意味着赢得和维持信任的关键责任。我们必须而且将会做得更多。

我们将安全性作为 Microsoft 的首要任务，高于所有其他功能。我们正在扩大 SFI 的范围，整合 CSRB 的最新建议以及我们从 Midnight Blizzard 中获得的经验教训，以确保我们的网络安全方法保持稳健并适应不断变化的威胁形势。

我们将在整个 Microsoft 范围内调动扩展的 SFI 支柱和目标，这将成为我们招聘决策的一个维度。此外，我们将根据我们在实现安全计划和里程碑方面的进展情况来确定公司高级领导团队的部分薪酬，从而灌输问责制。

以下细节展示了我们工作的严肃性和承诺。

扩大 SFI 的方法和范围

我们已经发展了我们的安全方法，未来我们的工作将遵循以下三个安全原则：

• 设计安全：设计任何产品或服务时，安全性是第一位的。
• 默认安全：默认情况下启用并强制执行安全保护，不需要额外的工作，并且不是可选的。
• 安全运营：安全控制和监控将不断改进，以满足当前和未来的威胁。 我们正在进一步扩大与六个优先安全支柱相一致的目标和行动，并提供对我们执行细节的可见性：

1. 保护身份和秘密

通过在所有身份和秘密基础设施以及用户和应用程序身份验证和授权中实施和执行一流的标准，降低未经授权的访问风险。作为其中的一部分，我们正在采取以下行动：

• 通过硬件存储和保护（例如，硬件安全模块 (HSM) 和机密计算）进行快速自动轮换，保护身份基础设施签名和平台密钥。
• 通过在 100% 的应用程序中使用标准 SDK，加强身份标准并推动其采用。
• 确保 100% 的用户帐户受到安全管理、防网络钓鱼的多因素身份验证的保护。
• 确保 100% 的应用程序受到系统管理凭据（例如托管身份和托管证书）的保护。
• 确保 100% 的身份令牌受到有状态且持久的验证的保护。
• 采用更细粒度的身份签名密钥和平台密钥分区。
• 确保身份和公钥基础设施 (PKI) 系统为后量子密码学世界做好准备。

2.保护租户并隔离生产系统

使用一致、一流的安全实践和严格隔离来保护所有 Microsoft 租户和生产环境，以最大程度地减少影响范围。作为其中的一部分，我们正在采取以下行动：

• 通过删除所有未使用的、老化的或遗留系统来维护租户的安全状况和商业关系。
• 保护 100% 的 Microsoft、收购的和员工创建的租户、商业帐户和租户资源，使其符合安全最佳实践基准。
• 将 100% 的 Microsoft Entra ID 应用程序管理到高度一致的安全栏。
• 消除租户、环境和云之间 100% 的身份横向移动枢纽。
• 100% 的应用程序和用户持续执行最低权限访问。
• 确保只有安全、托管、健康的设备才会被授予对 Microsoft 租户的访问权限。

3. 保护网络

保护 Microsoft 生产网络并实现 Microsoft 和客户资源的网络隔离。作为其中的一部分，我们正在采取以下行动：

• 通过改进隔离、监控、清单和安全操作，保护 100% 的 Microsoft 生产网络和连接到网络的系统。
• 将网络隔离和微分段应用于 100% 的 Microsoft 生产环境，创建针对攻击者的额外防御层。
• 使客户能够轻松保护其网络并在云中隔离网络资源。

4. 保护工程系统

通过对软件供应链和工程系统基础设施的治理，保护软件资产并不断提高代码安全性。作为其中的一部分，我们正在采取以下行动：

• 为用于部署和运营 Microsoft 产品和服务的 100% 软件资产建立和维护库存。
• 通过零信任和最低权限访问策略确保对源代码和工程系统基础设施的 100% 访问得到保护。
• 部署到 Microsoft 生产环境的源代码 100% 受到安全最佳实践的保护。
• 通过 100% 标准化、受管控的管道和基础设施隔离来保护开发、构建、测试和发布环境。
• 保护软件供应链以保护 Microsoft 生产环境。

5. 监控和检测威胁

全面覆盖并自动检测对 Microsoft 生产基础设施和服务的威胁。作为其中的一部分，我们正在采取以下行动：

• 维护 100% Microsoft 生产基础设施和服务的当前库存。
• 将 100% 的安全日志保留至少两年，并向客户提供六个月的适当日志。
• 100% 的安全日志可从中央数据湖访问，以实现高效、有效的安全调查和威胁搜寻。
• 自动检测 100% Microsoft 生产基础设施和服务中的异常访问、行为和配置并快速响应。

6. 加速响应和修复

通过全面、及时的修复，防止外部和内部实体发现的漏洞被利用。作为其中的一部分，我们正在采取以下行动：

• 通过加速响应来缩短缓解高严重性云安全漏洞的时间。
• 通过采用和发布 Common Weakness Enumeration™ (CWE™) 和 Common Platform Enumeration™ (CPE™) 行业标准来提高已缓解的云漏洞的透明度，以发布影响云的高严重性常见漏洞和暴露 (CVE)。
• 提高公共消息传递和客户参与的准确性、有效性、透明度和速度。

我们正在通过新的运营模式进行新的协调来实现这些目标，该模式使领导者和团队与 SFI 的六大支柱保持一致，以全面推动安全并打破传统的孤岛。支柱领导者正在与工程执行副总裁 (EVP) 合作，以推动集成的、跨公司的工程执行，分阶段完成这项工作。这些工程浪潮涉及 Microsoft Azure、Windows、Microsoft 365 和安全团队，每周还会有其他产品团队集成到该流程中。

虽然还有很多工作要做，但我们在执行 SFI 优先事项方面已经取得了进展。例如，我们默认在 Microsoft 内超过一百万个 Microsoft Entra ID 租户（包括用于开发、测试、演示和生产的租户）中自动实施多因素身份验证。迄今为止，我们已在生产和企业租户中删除了 730,000 个超出生命周期或不符合当前 SFI 标准的应用程序，从而消除或减少了应用程序目标。我们扩大了日志记录范围，为客户提供更深入的可见性。我们最近宣布了我们的响应流程的重大转变：我们现在使用 CWE™ 行业标准发布 Microsoft CVE 的根本原因数据。

遵守铺设道路系统的标准

铺好的道路是我们从经验中汲取的最佳实践，借鉴了如何优化软件开发和运营的生产力、如何实现合规性（例如软件材料清单、萨班斯-奥克斯利法案、通用数据保护条例等） ），以及如何消除整个类别的漏洞并减轻相关风险。当采用显着改善开发人员或运营体验或安全性、质量或合规性时，铺好的道路就成为标准。

通过 SFI，我们为六个安全支柱中的每一个明确定义标准，并且对这些标准的遵守情况将作为目标和关键结果 (OKR) 进行衡量。

推动持续改进

安全未来计划使整个 Microsoft 能够实施所需的更改，以首先提供安全性。我们的公司文化基于培养持续改进精神的成长心态。我们不断寻求反馈和新观点来调整我们的方法和进展。我们将从安全事件中汲取经验教训，将其反馈到我们的安全标准中，并将这些经验教训付诸实践，为实现大规模安全设计和运营铺平道路。

建立新的治理体系

我们还采取重大措施来提升安全治理，包括多项组织变革以及额外的监督、控制和报告。

Microsoft 正在实施由首席信息安全官 (CISO) 牵头的新安全治理框架。该框架引入了工程团队和新成立的副 CISO 之间的合作伙伴关系，共同负责监督 SFI、管理风险并直接向高级领导团队报告进展情况。该执行论坛每周都会审查进展情况，董事会每季度都会审查进展情况。

最后，考虑到威胁情报的重要性，我们将全面的民族国家行为者和威胁追踪能力引入 CISO 组织。

灌输安全第一的文化

文化只能通过我们的日常行为来强化。安全是一项团队运动，只有克服组织界限才能最好地实现。工程执行副总裁与 SFI 支柱领导人密切协调，举行大规模的每周和每月运营会议，其中包括各级管理层和高级个人贡献者。这些会议致力于根据我们共同向客户交付的内容来详细执行和持续改进安全性。通过这种自下而上、端到端的问题解决过程，安全思维已根植于我们的日常行为中。

最终，Microsoft 的运行依赖于信任，并且必须赢得并维持这种信任。作为软件、基础设施和云服务的全球提供商，我们深感责任重大，有责任尽自己的一份力量，保障世界的安全。我们的承诺是不断改进和适应网络安全不断变化的需求。这是我们的首要任务。