微软首席执行官Satya Nadella揭露微软Copilot技术架构中的AI资安与安全层，以去年11月底发起的未来安全计划（SFI）为内核，包括安全设计、安全默认和安全维运三大原则，以及6项安全文化和治理作法。／微软

微软开发者部门总裁Julia Liuson和微软威胁情资部门客户副总裁John Lambert更进一步说明，其中的保护身分和秘密、保护工程系统做法。尤其，自去年底以来，他们跨部门密切合作，共同对抗了俄罗斯黑客组织午夜暴雪（Midnight Blizzard）攻击，并将这些经验融入到SFI之中。

John Lambert说明，午夜暴雪采图（Graph）攻击，策略是获取凭证，因此他们锁定开发者，想得到开发者凭证，再用这些凭证创建攻击图，进而掌握公司机密。为防止开发者不小心在Email或原始代码中泄漏秘密，微软创建了GitHub Advenced Security工具来扫描秘密，这是保护身分和秘密的作法之一。

但这个扫描工具也有缺点，比如它可能无法识别每个秘密，而且这些秘密没有明确特征，也很难被辨识。因此，使用系统托管的身分识别（System managed identities）工具就很重要，它不只能自动更换授权所需的关键信息、降低人工成本，还能快速回应。这是微软从午夜暴雪事件学习到的重要一课，「我们希望所有应用程序都受到系统托管身分识别的保护，」Julia Liuson说明：「长期而言，我们希望不再使用任何密码。」如此，开发者就不会不小心把这些秘密信息遗留在原始代码中，或Email给他们的朋友，也不必再定期更换密码。这是微软SFI的另一努力方向。

同时，在保护工程系统方面，微软的做法是删除70多万个未使用的示范（demo）应用程序、范例应用程序和测试应用程序，也删除了许多与这些应用程序有关的存储库和建置流程。因为，只要还有凭证、还能存取资源，就会被威胁者所利用。

Julia Liuson总结，在保护工程系统方面，微软学到2个非常重要的经验，一是从所有工程系统中，删除不需要的应用程序，再来是以对待正式上线程序的严格标准，来对待非正式上线的示范、范例和测试等3类应用程序。

除了企业内部的工程系统，还得注意另一个常被攻击的目标：开源开发生态。这类攻击大多是社交工程，比如今年上半年XZ Utils开源项目遭威胁者植入后门，这些后门只让XZ Utils运行速度慢了些，很难让人察觉问题。

但，微软PostgreSQL开发者发现这个问题，一番研究后确认XZ Utils数据压缩程序库被植入后门，并点出这是一场供应链攻击事件，引发全球性的调查。微软因此未受到后门程序影响，也将自己的经验整合到GitHub Advenced Security工具相依性视图中，比如利用GitHub软件项目相依性自动管理工具Dependabot，来警示开发者哪些存储库正使用有漏洞的软件，并协助开发者解决问题。这是微软安全文化的体现。

不单靠工具发出警报通知，Julia Liuson也力推安全第一文化，尤其通过培训，在团队保有好奇心与创意，还能提高团队资安意识。她表示，微软将持续研究更多安全技术和工具，来确保服务安全。

 相关报导