在經歷了多年的安全問題和越來越多的批評之後，微軟正在將安全視為每位員工的首要任務。美國網路安全審查委員會最近在一份嚴厲的報告中指出：「微軟的安全文化不足，需要徹底改革。」微軟正是這樣做的，公司製定了一套安全原則和目標，並將其與微軟高級領導團隊的薪資福利掛鉤。

去年11 月，微軟宣布了一項”安全未來計劃”（Secure Future Initiative，SFI），以應對公司在應對中國黑客入侵美國政府電子郵件帳戶的攻擊方面所面臨的越來越大的壓力。就在宣布該計畫的幾天后，俄羅斯駭客成功攻破了微軟的防禦系統，並窺探了微軟高階領導團隊部分成員的電子郵件帳號。微軟直到將近兩個月後的1 月才發現這項攻擊，而同一組織甚至繼續竊取原始碼。

最近的這些攻擊具有破壞性，網路安全審查委員會的報告最近對微軟的安全問題火上澆油，認為該公司本可以防止2023 年發生的美國政府電子郵件帳戶外洩事件，是”一連串的安全故障”導致了這事件的發生。

微軟負責安全事務的執行副總裁查理-貝爾（Charlie Bell）在今天的一篇部落格文章中解釋說：「我們將安全作為微軟的首要任務，它高於其他一切事務。我們將根據我們在實現安全計畫和里程碑方面的進展來確定公司高階領導團隊的部分薪酬，以此來灌輸責任感。

微軟現在有三個安全原則，它們是這些目標的重要組成部分：設計安全、預設安全和操作安全。這些原則的目的是在產品和服務的設計階段將安全性放在首位，更加重視預設啟用的保護措施，並改善對當前和未來威脅的控制和監控。

六大優先安全支柱」強調了更廣泛的目標，這也是微軟需要大力改進的地方：

1. 保護身分和機密。微軟承諾將在其身分和機密基礎架構中實施”同類最佳標準”，從而使100% 的用戶帳戶受到多因素身份驗證的保護，100% 的應用程式受到證書等託管憑證的保護。
2. 保護租戶，隔離生產系統。微軟正在採取一種方法，確保只有健康、受管理和安全的設備才能存取公司自己的服務集，同時為100% 的應用程式提供最少權限存取模型（最低存取等級或權限）。
3. 保護網路。微軟承諾透過在所有生產環境中應用隔離和微分段技術，100% 保護其生產網路和連接到網路的系統的安全。這將有助於建立更多層次的防禦，抵禦攻擊者。
4. 保護工程系統。微軟表示，將透過”零信任”和”最小權限”存取策略，確保對原始碼的存取百分之百安全。任何部署到生產環境中的原始程式碼也將受到安全最佳實踐的保護，測試環境也將具有標準化的安全性和基礎架構隔離。
5. 監控和偵測威脅。微軟承諾將100% 的安全日誌保留兩年，並向客戶提供六個月的”適當日誌”。它還將自動檢測並”快速”響應微軟100% 的生產基礎設施和服務中的可疑訪問或配置更改。
6. 加快響應和修復。這裡的目標是透過更”及時的修復”來防止未修補的漏洞被利用。微軟承諾透過採用通用弱點枚舉（CWE）和通用平台枚舉（CPE）行業標準，縮短修復”高嚴重性”雲端安全漏洞所需的時間，並提高這些問題的透明度。

所有這些目標都與微軟領導層的一些薪酬掛鉤，是對最近俄羅斯駭客入侵事件和網路安全審查委員會建議的明確而直接的回應。

微軟目前正在協調其工程團隊，在全公司範圍內分批完成這項工作。貝爾說：「這些工程計劃涉及Azure 雲端、Windows、Microsoft 365 和安全團隊，每週還有其他產品團隊加入這一進程。”

微軟已經在實現其雄心勃勃的安全目標方面取得了進展。該公司已經在微軟內部100 多萬個租戶中預設實施了多因素，包括用於開發、測試、演示和生產的租戶。到目前為止，它還刪除了73 萬個”已過生命週期或不符合當前SFI 標準”的應用程式。

在被網路安全審查委員會評為”不合格”之後，這家軟體製造商也在努力改善其安全文化。現在，微軟的工程主管每周和每月都要召開一次業務會議，與會者包括各種管理層和高層人士，目的是改善微軟整個公司的安全思維。

微軟也為每個產品團隊增設了副首席資訊安全長（CISO），並將威脅情報團隊轉為直接向首席資訊安全長報告。這意味著工程團隊的安全責任更加明確。

我曾在上個月報道過，微軟內部擔心最近的安全攻擊會嚴重破壞人們對公司的信任。貝爾說：『歸根結底，微軟是靠信任運作的，而這種信任必須得到贏得和維護。作為軟體、基礎設施和雲端服務的全球供應商，我們深感有責任為維護世界的安全盡自己的一份力量。