微軟執行長Satya Nadella揭露微軟Copilot技術架構中的AI資安與安全層，以去年11月底發起的未來安全計畫（SFI）為核心，包括安全設計、安全預設和安全維運三大原則，以及6項安全文化和治理作法。／微軟

微軟開發者部門總裁Julia Liuson和微軟威脅情資部門客戶副總裁John Lambert更進一步說明，其中的保護身分和秘密、保護工程系統做法。尤其，自去年底以來，他們跨部門密切合作，共同對抗了俄羅斯駭客組織午夜暴雪（Midnight Blizzard）攻擊，並將這些經驗融入到SFI之中。

John Lambert說明，午夜暴雪採圖（Graph）攻擊，策略是獲取憑證，因此他們鎖定開發者，想得到開發者憑證，再用這些憑證建立攻擊圖，進而掌握公司機密。為防止開發者不小心在Email或原始程式碼中洩漏秘密，微軟建立了GitHub Advenced Security工具來掃描秘密，這是保護身分和秘密的作法之一。

但這個掃描工具也有缺點，比如它可能無法識別每個秘密，而且這些秘密沒有明確特徵，也很難被辨識。因此，使用系統託管的身分識別（System managed identities）工具就很重要，它不只能自動更換授權所需的關鍵資訊、降低人工成本，還能快速回應。這是微軟從午夜暴雪事件學習到的重要一課，「我們希望所有應用程式都受到系統託管身分識別的保護，」Julia Liuson說明：「長期而言，我們希望不再使用任何密碼。」如此，開發者就不會不小心把這些秘密資訊遺留在原始程式碼中，或Email給他們的朋友，也不必再定期更換密碼。這是微軟SFI的另一努力方向。

同時，在保護工程系統方面，微軟的做法是刪除70多萬個未使用的示範（demo）應用程式、範例應用程式和測試應用程式，也刪除了許多與這些應用程式有關的儲存庫和建置流程。因為，只要還有憑證、還能存取資源，就會被威脅者所利用。

Julia Liuson總結，在保護工程系統方面，微軟學到2個非常重要的經驗，一是從所有工程系統中，刪除不需要的應用程式，再來是以對待正式上線程式的嚴格標準，來對待非正式上線的示範、範例和測試等3類應用程式。

除了企業內部的工程系統，還得注意另一個常被攻擊的目標：開源開發生態。這類攻擊大多是社交工程，比如今年上半年XZ Utils開源專案遭威脅者植入後門，這些後門只讓XZ Utils執行速度慢了些，很難讓人察覺問題。

但，微軟PostgreSQL開發者發現這個問題，一番研究後確認XZ Utils資料壓縮程式庫被植入後門，並點出這是一場供應鏈攻擊事件，引發全球性的調查。微軟因此未受到後門程式影響，也將自己的經驗整合到GitHub Advenced Security工具相依性檢視中，比如利用GitHub軟體專案相依性自動管理工具Dependabot，來警示開發者哪些儲存庫正使用有漏洞的軟體，並協助開發者解決問題。這是微軟安全文化的體現。

不單靠工具發出警報通知，Julia Liuson也力推安全第一文化，尤其透過培訓，在團隊保有好奇心與創意，還能提高團隊資安意識。她表示，微軟將持續研究更多安全技術和工具，來確保服務安全。

 相關報導