微軟近日發(fā)布了"安全未來計劃"(Secure Future Initiative，SFI)的第二份進(jìn)展報告，這項被稱為公司史上最大規(guī)模網(wǎng)絡(luò)安全工程的計劃由微軟安全執(zhí)行副總裁查理·貝爾(Charlie Bell)領(lǐng)導(dǎo)，已累計投入相當(dāng)于3.4萬名工程師全職工作11個月的工作量，旨在強(qiáng)化微軟自身、客戶及整個行業(yè)的安全防護(hù)。

全員安全文化轉(zhuǎn)型

為應(yīng)對關(guān)鍵網(wǎng)絡(luò)安全風(fēng)險而啟動的SFI計劃，著重在微軟全體員工中培育安全優(yōu)先的文化。目前每位員工都將"安全核心優(yōu)先事項"納入績效考核，99%的員工已完成《安全基礎(chǔ)與可信代碼》必修培訓(xùn)。超過5萬名員工參加了微軟安全學(xué)院(Microsoft Security Academy)的網(wǎng)絡(luò)安全技能提升課程。

"這種轉(zhuǎn)變的核心是賦能，"貝爾強(qiáng)調(diào)，"我們的目標(biāo)是讓所有員工都具備保護(hù)客戶的能力。"

產(chǎn)品安全創(chuàng)新實踐

微軟工程團(tuán)隊基于"設(shè)計安全、默認(rèn)安全、運(yùn)營安全"(Secure by Design, Default, and in Operations)原則推出多項創(chuàng)新成果。其中，經(jīng)過20個產(chǎn)品團(tuán)隊測試、部署給2.2萬名員工并對外公開的"安全設(shè)計用戶體驗工具包"(Secure by Design UX Toolkit)尤為突出，該工具包將安全最佳實踐嵌入產(chǎn)品開發(fā)全流程，幫助團(tuán)隊識別漏洞并確定修復(fù)優(yōu)先級。

在Azure、Microsoft 365、Windows和微軟安全產(chǎn)品中，團(tuán)隊新增了11項安全功能以增強(qiáng)默認(rèn)防護(hù)能力。人工智能開發(fā)方面，微軟通過新成立的"生成式人工智能安全與保障組織"(Artificial Generative Intelligence Safety and Security Organization)實施專項安全審查?！敦?fù)責(zé)任AI透明度報告》中詳述的安全運(yùn)營實踐，現(xiàn)已成為所有AI系統(tǒng)的標(biāo)準(zhǔn)配置。通過新政策和檢測模型，這些措施還成功攔截了價值40億美元的欺詐企圖。

全面強(qiáng)化威脅防御

報告特別展示了在身份、網(wǎng)絡(luò)和系統(tǒng)防護(hù)方面的重要進(jìn)展。繼2023年Storm-0558攻擊事件后，微軟已將Entra ID和微軟賬戶(MSA)的令牌簽名密鑰遷移至基于硬件的安全模塊(HSM)和Azure機(jī)密虛擬機(jī)，并實施自動輪換及新的縱深防御措施。目前微軟應(yīng)用程序90%以上的身份令牌使用強(qiáng)化版身份軟件開發(fā)工具包，92%的員工賬戶采用防釣魚多因素認(rèn)證。

通過將88%的資源遷移至Azure資源管理器、清理630萬個閑置租戶，以及限制440萬個托管身份只能在特定網(wǎng)絡(luò)位置進(jìn)行認(rèn)證，微軟有效降低了橫向移動風(fēng)險。網(wǎng)絡(luò)安全方面，99%的資產(chǎn)已完成清點，并新增網(wǎng)絡(luò)安全邊界(Network Security Perimeter)和DNS安全擴(kuò)展等防護(hù)功能。

微軟的威脅檢測與響應(yīng)能力顯著提升，針對主流攻擊戰(zhàn)術(shù)、技術(shù)和程序(TTP)新增200余項檢測規(guī)則，這些規(guī)則將集成至Microsoft Defender。公司現(xiàn)已對97%的生產(chǎn)基礎(chǔ)設(shè)施資產(chǎn)實施集中追蹤，并執(zhí)行安全日志兩年留存政策。通過"零日探索"(Zero Day Quest)計劃，微軟主動發(fā)現(xiàn)云和AI系統(tǒng)中的180個漏洞，并將緩解方案擴(kuò)展至更多產(chǎn)品和環(huán)境。

企業(yè)級風(fēng)險管理體系

為加強(qiáng)企業(yè)級風(fēng)險管理，微軟新設(shè)業(yè)務(wù)應(yīng)用副首席信息安全官(Deputy CISO)職位，并整合Microsoft 365等部門的安監(jiān)職能。14位副CISO已完成風(fēng)險清單梳理，形成統(tǒng)一的安全優(yōu)先級視圖。這一治理框架確保安全理念貫穿組織各個層級。

在SFI計劃的28項目標(biāo)中，已有5項接近完成，11項取得重大進(jìn)展。該計劃顯著提升了微軟平臺的安全性、威脅檢測能力和客戶保護(hù)水平。"我們的平臺和服務(wù)比以往任何時候都更安全，"貝爾表示，"這既造福微軟，也惠及我們的客戶。"

微軟還積極與安全研究社區(qū)合作，共享"安全設(shè)計用戶體驗工具包"等工具以提升行業(yè)標(biāo)準(zhǔn)。完整版SFI進(jìn)展報告現(xiàn)已發(fā)布，詳細(xì)闡述了各項成果及微軟對網(wǎng)絡(luò)安全的持續(xù)承諾。