在近年來一系列備受矚目的攻擊事件之後，微軟正在全面改革其安全流程。該公司今天概述說，安全現在是微軟的”重中之重”，以回應對其安全實踐的持續質疑，以及美國網路安全審查委員會對微軟安全文化”不足”的評價。

微軟執行長薩蒂亞-納德拉（Satya Nadella）現在向每位員工明確表示，安全應優先於一切。在一份發給微軟20 多萬名員工的備忘錄中，他討論了新的安全改革，以及公司如何從攻擊者那裡學習改善安全流程。納德拉也明確表示，員工不應在安全問題上做出取捨：

如果你需要在安全和其他優先事項之間做出權衡，答案很明確：確保安全。在某些情況下，這意味著安全性優先於我們所做的其他事情，例如發布新功能或為傳統系統提供持續支援。這是提高我們平台品質和能力的關鍵，這樣我們才能保護客戶的數位財產，為所有人建立一個更安全的世界。

納德拉希望微軟員工”以技術和操作的雙重嚴謹性”來應對徹底改變安全性的挑戰，甚至將每一行程式碼都視為提高微軟安全性的機會。這是每個人的頭等大事，也是我們客戶的最大需求。 “

有趣的是，納德拉也提到要優先考慮安全性，而不是努力支援和相容傳統系統。微軟在支援其軟體產品方面有著悠久的歷史，有時甚至長達數十年的支援或相容。納德拉在這裡稍微暗示，為了未來的安全，公司可能需要改變這種做法。

近年來，微軟面臨一系列安全問題。 2021 年初，中國駭客利用零日漏洞攻擊微軟Exchange 伺服器，使他們能夠存取電子郵件帳戶，並在企業託管的伺服器上安裝惡意軟體。去年，中國駭客利用微軟雲端漏洞入侵了美國政府的電子郵件。最近，與SolarWinds 事件背後的俄羅斯國家支持的駭客一樣，被稱為Nobelium 或Midnight Blizzard 的駭客去年能夠窺探微軟高層領導團隊一些成員的電子郵件帳戶，甚至在今年早些時候竊取原始碼。

納德拉的備忘錄全文如下：

今天，我想談談對公司未來至關重要的事情：將安全放在首位。

微軟依靠信任運行，我們的成功取決於贏得和維護信任。我們擁有獨特的機會和責任，為世界的創新打造最安全、最值得信賴的平台。

美國國土安全部網路安全審查委員會（CSRB）最近對2023 年夏天發生的Storm-0558 網路攻擊事件的調查結果，凸顯了我們公司和客戶所面臨威脅的嚴重性，以及我們抵禦這些日益複雜的威脅行為者的責任。

去年11 月，我們啟動了”安全未來計畫”（Secure Future Initiative，簡稱SFI），將公司各部門聯合起來，在新產品和傳統基礎設施中推進網路安全保護。我為這項倡議感到自豪，並對為實施這項倡議所做的工作表示感謝。但是，我們必須而且將會做得更多。

展望未來，我們整個組織都將致力於自立扶持計劃，我們將以三項核心原則為基礎，加倍努力實施這項計劃：

– 安全設計：在設計任何產品或服務時，安全都是第一位的。

– 預設安全：預設啟用並執行安全性保護，無需額外努力，也不是可選項。

– 安全運作：不斷改進安全控制和監測，以應對當前和未來的威脅。

這些原則將指導我們SFI 支柱的方方面面，因為我們保護身分和機密、保護租戶和隔離生產系統、保護網路、保護工程系統、監控和偵測威脅以及加速回應和修復。我們已經分享了每個支柱所涉及的全公司範圍內的具體行動，包括CSRB 報告中建議的行動，您可以在此處了解這些行動。在整個微軟，我們將動員起來，實施並落實這些標準、準則和要求，這將成為我們招募和獎勵決策的一個新增維度。此外，我們還將根據我們在實現安全計劃和里程碑方面取得的進展來確定高級領導團隊的部分薪酬，從而灌輸責任意識。

我們必須以技術和營運的嚴謹性來應對這項挑戰，並專注於持續改善。我們承擔的每一項任務，從一行程式碼到一個客戶或合作夥伴流程，都是幫助我們加強自身安全和整個生態系統安全的機會。這包括向我們的對手學習，學習他們日益複雜的能力，就像我們與午夜暴風雪的合作一樣。從我們不斷監控的數以萬億計的獨特訊號中學習，以加強我們的整體態勢。它還包括公共和私營部門之間更強大、更有序的合作。

安全是一項團隊運動，加速SFI 不僅是我們安全團隊的首要任務，也是每個人的首要任務和客戶的最大需求。

如果您需要在安全和其他優先事項之間做出權衡，答案很明確：確保安全。在某些情況下，這意味著安全性優先於我們所做的其他事情，例如發布新功能或為傳統系統提供持續支援。這是提高我們平台品質和能力的關鍵，這樣我們才能保護客戶的數位財產，為所有人建立一個更安全的世界。

薩蒂亞