微软将对高管的网络安全负责。

微软加强网络安全的组织变革

关键要点

  • 微软将进行组织调整,并使高管直接对网络安全负责,以提升产品和服务的安全性。
  • 安全副总裁查理·贝尔在博客中宣布计划,以增强客户和美国政府的信心。
  • 公司将通过实施新的领导责任和治理措施,确保网路安全的治理得到加强。

微软将实施组织变革,并对高管在网络安全方面直接负责,作为一项扩大倡议的组成部分,以增强其产品和服务的安全性。微软的安全执行副总裁查理·贝尔在上周的一篇中宣布了这一计划,旨在向客户和美国政府传达公司在快速变化的威胁环境中提升网络安全的承诺。

确保责任

贝尔表示:“我们将通过将公司高管团队的一部分薪酬与实现安全计划和里程碑的进展挂钩来确保问责。我们还将采取重大步骤提升安全治理,包括一些组织变更以及额外的监督、控制和报告。”

新的措施包括为每个产品团队新增一名副首席信息安全官(CISO),确保威胁情报团队直接向企业CISO报告。此外,微软Azure、Windows、Microsoft365及安全小组的工程团队将协作致力于安全问题。

贝尔的评论在美国国土安全部的(CSRB)发布报告后约一个月做出,报告指出微软在战略和文化层面需要做出更多努力,以。CSRB发现,微软本可以避免去年由中国网络间谍组织Storm-0558引发的一起重大网络事件,该事件导致该组织侵入公司的ExchangeOnline环境,并访问了包括政府机构在内的约25个组织的用户电子邮件。之后的微软调查显示,这次泄露源于一系列可以避免的失误。

在2023年11月,微软宣布了一项企业范围的(SFI),以实施保护措施以应对相似和新兴威胁。根据这项倡议,微软表示将利用自动化、人工智能(AI)和威胁建模,持续在代码开发、测试、部署及生产过程中整合安全性。微软还承诺将整合更安全的默认设置,以便客户在开箱时能够得到更好的保护。此外,微软表示将实施更强的身份保护,并将云脆弱性响应和缓解时间缩短一半。

六大支柱方案

贝尔上周的更新为这些提议提供了更多细节。从高层次来看,微软的努力是确保其产品和平台在设计、安全性和运营中都是安全的。这些目标的满足要求被归类为六个大支柱:保护身份和机密;保护云中的租户和生产系统;保护网络;保护工程系统;监测和检测威胁;以及加速响应和补救。

微软将实施一系列措施以满足每一个目标。例如,为了更好地保护身份和机密,微软将实施签名和平台密钥的快速自动轮换,并在所有平台使用行业标准SDK。为了保护租户,微软将移除所有未使用的、过时的和老化的系统;对所有云托管应用实施持续的最小权限访问;并消除可能给予攻击者横向移动的租户间潜在枢纽。

微软计划保护其网络的措施包括100%的网络隔离和分段,而其确保工程系统安全的努力则将集中在建立和维护所有软件资产的清单,并对源代码和基础设施实施零信任访问等方面。

贝尔指出:“工程执行副总裁与安全未来倡议的支柱领导者密切协调,正举行广泛的每周和每月的运营会议,涵盖所有管理层和高级个人贡献者。这些会议致力于与我们共同交付给客户的内容相结合的安全详细执行和持续改进。”

这些提议变更的全面影响可能需要时间才能实现。与此同时,该公司仍然是攻击者的主要目标。例如,在一月,微软披露其系统遭到俄罗斯威胁组织的入侵,而该入侵自去年11月以来未被发现,正值其安全未来倡议的推进中。

Ontinue的首席产品官汤姆·科恩表示,微软的安全未来倡议的范围令人印象深刻。“微软作为安全和基础设施领域的主导者,处于独特的地位,使这个倡议的实施变得简单,并将惠及所有人。”科恩表示。

Leave a Reply

Required fields are marked *