在多年的安全問題和美國網路安全審查委員會（US Cyber​​ Safety Review Board）的嚴厲報告之後，微軟在今年稍早將安全問題列為每位員工的首要任務。在微軟執行長薩蒂亞-納德拉（Satya Nadella）告訴全公司安全應優先於一切的近半年後，這家軟體巨頭提交了一份進展報告。

微軟於2023 年11 月首次啟動了”安全未來計劃”（Secure Future Initiative，SFI），就在幾個月前，美國網路安全審查委員會得出結論：”微軟的安全文化不足，需要徹底改革。這次嚴厲的審查真正促使微軟開始行動，該公司今天透露，它現在有相當於34000 名全職工程師為SFI 工作，這使其成為微軟內部有史以來最大的網路安全工程努力。

上個月，微軟公司將其安全工作與員工績效考核掛鉤，現在每位微軟員工都要根據他們的安全工作接受評判。最近幾個月，微軟也根據SFI 的要求對其安全流程進行了一系列改進。

微軟更新了Entra ID 和Microsoft 帳戶(MSA) 系統，使用Azure 管理的硬體安全模組產生、儲存和自動輪換存取令牌簽署金鑰。此外，也刪除了575 萬個不活躍租戶，以減少攻擊面。微軟現在也使用具有安全預設值的新系統進行測試，以避免遺留系統在未來造成安全性問題。

現在，微軟在一個中央庫存系統中追蹤其99% 以上的實體網絡，該系統有助於韌體合規性和日誌記錄。微軟也改進了稽核日誌，將日誌至少保留兩年。

現在，微軟內部工程團隊的個人存取權杖已被削減至七天，所有內部工程軟體倉庫的SSH 存取都已停用，能夠存取關鍵工程系統的人員數量也已減少。

微軟過去曾因應對安全問題所需的時間過長而受到批評，該公司現在開始公佈CVE，”即使不需要客戶採取行動，也要提高透明度”。

改造微軟的工程流程和安全文化並非易事，尤其是當公司擁有10 萬名工程師、設計師和專案經理，每天處理50 多萬個工作項目，每月進行500 萬次建置時。

微軟正在透過”正確開始、正確堅持、正確完成”的方法實施新標準。 “正確起步”確保專案使用範本、策略和自助工具遵守安全標準。然後，”保持正確”確保對專案和相關政策執行進行監控。最後一部分是”Get Right”，旨在讓微軟監控其合規狀態。

這家軟體巨頭還成立了一個新的網路安全治理委員會，並任命了13 位副首席資訊安全官，其中四位是微軟新聘人員：

• Damon Becknel，負責監管產業的副總裁兼副CISO： Becknel 於7 月加入微軟，此前曾在ID.me 和Horizo​​n Blue Cross Blue Shield 擔任CISO。
• Geoff Belknap，公司副總裁兼首席資訊安全長（CISO），負責核心與併購業務：貝爾納普曾在微軟旗下的LinkedIn 擔任CISO，也曾擔任Slack 的CISO 和Palantir 的CSO。
• Shawn Bowen，遊戲部門副總裁兼首席資訊安全長（CISO）： Bowen 在工程和安全職位上工作了27 年，包括在World Kinect 和美國海軍陸戰隊情報部擔任CISO。
• 蒂莫西-蘭根（Timothy Langan），公司副總裁兼政府部門首席資訊安全官（CISO）：在今年7 月加入微軟之前，Langan 在聯邦調查局工作了26 年，負責美國聯邦調查局的網絡、犯罪調查和其他業務。

其他九位副首席資訊安全長都是在微軟工作了幾十年的資深高管，其中包括技術研究員馬克-魯西諾維奇（Mark Russinovich），他被任命為Azure的副首席資訊安全官，同時兼任Azure首席技術長。微軟的高階領導團隊現在每週都會審查SFI 的進展情況，並每季向微軟董事會提供最新進展。

最後，微軟在7 月推出了安全技能學院，其中包括對所有員工進行培訓，以強化”安全在日常運營中的重要性”。這種持續的培訓、績效考核以及微軟高層領導團隊的監督，無疑給員工帶來了壓力，要求他們比以往任何時候都更加關注安全問題，但微軟要重新贏得信任，並將有關其安全記錄的頭條新聞放在後視鏡中，仍然任重道遠。

微軟安全主管查理貝爾（Charlie Bell）表示： “我們對透明度和產業合作的承諾始終堅定不移。透過培養這種不斷學習和改進的文化，我們正在打造一個安全不僅是功能，而且是基礎的未來”。