微軟

繼去年11月提出安全未來倡議（Secure Future Initiative，SFI），以及收到美國國土安全部網路安全審查委員會（Cyber Safety Review Board，CSRB）的調查報告之後，微軟上周五（5/3）提出了SFI的具體措施，發表SFI的6大支柱，並宣布將部署全新的安全治理框架，新設多個副資安長執位，執行長Satya Nadella更宣告微軟將全面以資安為優先的未來政策。

CSRB對微軟的調查始於去年微軟帳戶（MSA）消費者簽章金鑰的外洩，導致中國駭客組織Storm-0558於微軟服務中潛伏超過1個月，滲透歐美地區的25個政府組織，且今年初俄羅斯駭客組織Midnight Blizzard又成功入侵微軟一個舊版的測試租戶帳戶，這次時間長達兩個月才被發現。CSRB認為，微軟的安全文化不足，才無法防堵這些可以預防的意外，建議微軟進行根本性的安全改革。

於是，Nadella上周宣告，未來微軟整個組織都將投入SFI，以3大核心概念為基礎，分別是安全設計（Secure by Design）、以安全為預設（Secure by Default），以及安全操作（Secure Operations）。因此，未來微軟在設計任何產品及服務時，都將以安全為優先；也將在預設情況下啟用與強制執行安全保護；亦會持續改善安全控制及監控，以應對當前與未來的威脅。

Nadella表示，安全是個團隊運動，不只是微軟安全團隊的任務，也是每個人的首要之務，亦為客戶的最大需求。在面臨安全與其它重要事項之間的權衡時，勢必以安全為優先；這意味著微軟在某些情況下將把安全性置於其它事務之上，不管是發布新功能，或是持續支援舊有系統。

負責安全的微軟執行副總裁Charlie Bell則說明了對SFI的具體規畫，在基於安全設計、安全預設及安全操作的傘翼下，提出了SFI的6大支柱暨目標，包括保護身分與機密、保護租戶並隔離生產系統、保護網路、保護工程系統、監控與檢測威脅，以及加快回應與修復速度。

這些目標直接符合微軟自Midnight Blizzard事件中所得到的教訓，以及CSRB對微軟所提出的4個、以及對所有雲端服務供應商所提出的12個建議，涵蓋安全文化、網路安全最佳實踐、審核日誌紀錄規範、數位身分標準與指南，以及透明度等。

Bell指出，相關的支柱領導者正與各個不同的工程執行副總裁合作，以推動橫跨整個微軟的工程執行，不管是Microsoft Azure、Windows、Microsoft 365與Security部門，且每周都會有其它的產品團隊加入。

為了貫徹SFI的目標，微軟實施了新的安全治理框架，將設立多個新的副資安長，建立這些副資安長與工程團隊的合作夥伴關係，共同負責監督SFI，管理風險，每周直接向資深管理團隊報告，董事會則會參與每季的進度報告。

看起來微軟的確計畫從根本上改變該公司的安全文化，迄今已強制於微軟內部超過100萬個 Microsoft Entra ID租戶中自動強制執行多因素身分驗證，也已於生產及企業租戶中移除逾73萬個舊版或不符合最新SFI標準的應用程式，同時也擴大了日誌紀錄以替客戶提供更深入的可視性，亦開始透過通用缺陷列表（Common Weakness Enumeration，CWE）來公布微軟各種CVE的根本原因。

Bell最後也呼應了執行長Nadella的說法，指出文化只能藉由日常行為來強化，在克服組織邊界時才能實現安全，並在從下而上、自端到端的問題解決過程中，令安全思維深植於微軟。