新报告详述微软有史以来最大规模的安全转型

摘要:

在多年的安全问题和美国网络安全审查委员会(US Cyber Safety Review Board)的严厉报告之后,微软在今年早些时候将安全问题列为每位员工的头等大事。在微软首席执行官萨蒂亚-纳德拉(Satya Nadella)告诉全公司安全应优先于一切的近半年后,这家软件巨头提交了一份进展报告

download.webp

微软于 2023 年 11 月首次启动了"安全未来计划"(Secure Future Initiative,SFI),就在几个月前,美国网络安全审查委员会得出结论:"微软的安全文化不足,需要彻底改革。这次严厉的审查真正促使微软开始行动,该公司今天透露,它现在有相当于 34000 名全职工程师为 SFI 工作,这使其成为微软内部有史以来最大的网络安全工程努力。"

上个月,微软公司将其安全工作与员工绩效考核挂钩,现在每名微软员工都要根据他们的安全工作接受评判。最近几个月,微软还根据 SFI 的要求对其安全流程进行了一系列改进。

微软更新了 Entra ID 和 Microsoft 帐户 (MSA) 系统,使用 Azure 管理的硬件安全模块生成、存储和自动轮换访问令牌签名密钥。此外,还删除了 575 万个不活跃租户,以减少攻击面。微软现在还使用具有安全默认值的新系统进行测试,以避免遗留系统在未来造成安全问题。

现在,微软在一个中央库存系统中跟踪其 99% 以上的物理网络,该系统有助于固件合规性和日志记录。微软还改进了审计日志,将日志至少保留两年。

现在,微软内部工程团队的个人访问令牌已被削减至七天,所有内部工程软件仓库的 SSH 访问都被禁用,能够访问关键工程系统的人员数量也已减少。

微软过去曾因应对安全问题所需的时间过长而受到批评,该公司现在开始公布 CVE,"即使不需要客户采取行动,也要提高透明度"。

改造微软的工程流程和安全文化并非易事,尤其是当公司拥有 10 万名工程师、设计师和项目经理,每天处理 50 多万个工作项目,每月进行 500 万次构建时。

微软正在通过"正确开始、正确坚持、正确完成"的方法实施新标准。"正确起步"确保项目使用模板、策略和自助工具遵守安全标准。然后,"保持正确"确保对项目和相关政策执行进行监控。最后一部分是"Get Right",旨在让微软监控其合规状态。

这家软件巨头还成立了一个新的网络安全治理委员会,并任命了 13 位副首席信息安全官,其中四位是微软新聘人员:

  • Damon Becknel,负责监管行业的副总裁兼副 CISO:Becknel 于 7 月加入微软,此前曾在 ID.me 和 Horizon Blue Cross Blue Shield 担任 CISO。

  • Geoff Belknap,公司副总裁兼首席信息安全官(CISO),负责核心与并购业务: 贝尔纳普曾在微软旗下的 LinkedIn 担任 CISO,还曾担任过 Slack 的 CISO 和 Palantir 的 CSO。

  • Shawn Bowen,游戏部门副总裁兼首席信息安全官(CISO):Bowen 在工程和安全岗位上工作了 27 年,包括在 World Kinect 和美国海军陆战队情报部担任 CISO。

  • 蒂莫西-兰根(Timothy Langan),公司副总裁兼政府部门首席信息安全官(CISO):在今年 7 月加入微软之前,Langan 在联邦调查局工作了 26 年,负责美国联邦调查局的网络、犯罪调查和其他业务。

其他九位副首席信息安全官都是在微软工作了几十年的资深高管,其中包括技术研究员马克-鲁西诺维奇(Mark Russinovich),他被任命为Azure的副首席信息安全官,同时兼任Azure首席技术官。微软的高级领导团队现在每周都会审查 SFI 的进展情况,并每季度向微软董事会提供最新进展情况。

最后,微软在 7 月份推出了安全技能学院,其中包括对所有员工进行培训,以强化"安全在日常运营中的重要性"。这种持续的培训、绩效考核以及微软高层领导团队的监督,无疑给员工带来了压力,要求他们比以往任何时候都更加关注安全问题,但微软要重新赢得信任,并将有关其安全记录的头条新闻放在后视镜中,仍然任重而道远

微软安全主管查理-贝尔(Charlie Bell)表示:"我们对透明度和行业合作的承诺始终坚定不移。通过培养这种不断学习和改进的文化,我们正在打造一个安全不仅是功能,而且是基础的未来"。

查看评论
created by ceallan