5 月 3 日消息,在经历了多年的安全问题和越来越多的批评之后,微软将安全作为每位员工的首要任务。
美国网络安全审查委员会最近发布了一份措辞严厉的报告,得出“微软的安全文化不足,需要彻底改革”的结论,为此,它概述了一套与微软高级领导团队薪酬方案相关的安全原则和目标。
去年 11 月,微软宣布了一项安全未来计划(SFI),以应对该公司面临越来越大的压力。微软安全执行副总裁 Charlie Bell 在今天的博客文章中解释道:“我们将安全性作为微软的首要任务,高于其他所有功能。我们将根据在实现安全计划和里程碑方面的进展情况,来确定公司高级领导团队的部分薪酬,从而灌输问责制。”
微软现在制定了三项安全原则,构成了这些目标的重要组成部分:设计安全;默认情况下安全;安全运营。这些原则旨在在产品和服务的设计阶段将安全性放在首位,更加注重默认启用的保护,并改进对当前和未来威胁的控制和监控。
从公告中注意到,微软还提出了六项承诺:
-
保护身份和秘密。微软承诺在其身份和机密基础设施中实施“一流标准”,以便 100% 的用户帐户受到多因素身份验证的保护,100% 的应用程序受到证书等托管凭据的保护。
-
保护租户并隔离生产系统。微软正在采取一种方法来确保只有健康、受管理且安全的设备才能访问公司的一组服务,同时为 100% 的应用程序提供最低特权访问模型(最低级别的访问或权限)。
-
保护网络。微软承诺通过对所有生产环境应用隔离和微分段,确保 100% 的生产网络和连接到网络的系统的安全,从而帮助针对攻击者建立额外的防御。
-
保护工程系统。微软表示,它将通过零信任和最低权限访问策略 100% 保证对其源代码的访问。部署到生产环境的任何源代码也将受到安全最佳实践的保护,测试环境也将具有标准化的安全性和基础设施隔离。
-
监视和检测威胁。微软承诺将所有安全日志保留两年,并向客户提供六个月的“适当日志”。它还将自动检测并“快速”响应 100% 的微软生产基础设施和服务中的可疑访问或配置更改。
-
加快响应和修复。目标通过更多的“及时修复”来防止未修补的漏洞被利用。微软承诺通过采用通用弱点枚举(CWE)和通用平台枚举(CPE)行业标准,减少修复“高严重性”云安全漏洞所需的时间,并提高这些问题的透明度。
此外,微软的工程主管现在每周和每月举行运营会议,其中包括各种管理人员和高级人员,目的是提高微软在整个公司的安全思维。微软还在每个产品团队中增加了副首席信息安全官(CISO)职位,并将其威胁情报团队直接向 CISO 报告。