微軟
繼去年11月提出安全未來倡議(Secure Future Initiative,SFI),以及收到美國國土安全部網路安全審查委員會(Cyber Safety Review Board,CSRB)的調查報告之後,微軟上周五(5/3)提出了SFI的具體措施,發表SFI的6大支柱,並宣布將部署全新的安全治理框架,新設多個副資安長執位,執行長Satya Nadella更宣告微軟將全面以資安為優先的未來政策。
CSRB對微軟的調查始於去年微軟帳戶(MSA)消費者簽章金鑰的外洩,導致中國駭客組織Storm-0558於微軟服務中潛伏超過1個月,滲透歐美地區的25個政府組織,且今年初俄羅斯駭客組織Midnight Blizzard又成功入侵微軟一個舊版的測試租戶帳戶,這次時間長達兩個月才被發現。CSRB認為,微軟的安全文化不足,才無法防堵這些可以預防的意外,建議微軟進行根本性的安全改革。
於是,Nadella上周宣告,未來微軟整個組織都將投入SFI,以3大核心概念為基礎,分別是安全設計(Secure by Design)、以安全為預設(Secure by Default),以及安全操作(Secure Operations)。因此,未來微軟在設計任何產品及服務時,都將以安全為優先;也將在預設情況下啟用與強制執行安全保護;亦會持續改善安全控制及監控,以應對當前與未來的威脅。
Nadella表示,安全是個團隊運動,不只是微軟安全團隊的任務,也是每個人的首要之務,亦為客戶的最大需求。在面臨安全與其它重要事項之間的權衡時,勢必以安全為優先;這意味著微軟在某些情況下將把安全性置於其它事務之上,不管是發布新功能,或是持續支援舊有系統。
負責安全的微軟執行副總裁Charlie Bell則說明了對SFI的具體規畫,在基於安全設計、安全預設及安全操作的傘翼下,提出了SFI的6大支柱暨目標,包括保護身分與機密、保護租戶並隔離生產系統、保護網路、保護工程系統、監控與檢測威脅,以及加快回應與修復速度。
這些目標直接符合微軟自Midnight Blizzard事件中所得到的教訓,以及CSRB對微軟所提出的4個、以及對所有雲端服務供應商所提出的12個建議,涵蓋安全文化、網路安全最佳實踐、審核日誌紀錄規範、數位身分標準與指南,以及透明度等。
Bell指出,相關的支柱領導者正與各個不同的工程執行副總裁合作,以推動橫跨整個微軟的工程執行,不管是Microsoft Azure、Windows、Microsoft 365與Security部門,且每周都會有其它的產品團隊加入。
為了貫徹SFI的目標,微軟實施了新的安全治理框架,將設立多個新的副資安長,建立這些副資安長與工程團隊的合作夥伴關係,共同負責監督SFI,管理風險,每周直接向資深管理團隊報告,董事會則會參與每季的進度報告。
看起來微軟的確計畫從根本上改變該公司的安全文化,迄今已強制於微軟內部超過100萬個 Microsoft Entra ID租戶中自動強制執行多因素身分驗證,也已於生產及企業租戶中移除逾73萬個舊版或不符合最新SFI標準的應用程式,同時也擴大了日誌紀錄以替客戶提供更深入的可視性,亦開始透過通用缺陷列表(Common Weakness Enumeration,CWE)來公布微軟各種CVE的根本原因。
Bell最後也呼應了執行長Nadella的說法,指出文化只能藉由日常行為來強化,在克服組織邊界時才能實現安全,並在從下而上、自端到端的問題解決過程中,令安全思維深植於微軟。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19