IT 之家 5 月 3 日消息,在經曆了多年的安全問題和越來越多的批評之後,微軟将安全作爲每位員工的首要任務。
美國網絡安全審查委員會最近發布了一份措辭嚴厲的報告,得出 " 微軟的安全文化不足,需要徹底改革 " 的結論,爲此,它概述了一套與微軟高級領導團隊薪酬方案相關的安全原則和目标。
去年 11 月,微軟宣布了一項安全未來計劃(SFI),以應對該公司面臨越來越大的壓力。微軟安全執行副總裁 Charlie Bell 在今天的博客文章中解釋道:" 我們将安全性作爲微軟的首要任務,高于其他所有功能。我們将根據在實現安全計劃和裏程碑方面的進展情況,來确定公司高級領導團隊的部分薪酬,從而灌輸問責制。"
微軟現在制定了三項安全原則,構成了這些目标的重要組成部分:設計安全;默認情況下安全;安全運營。這些原則旨在在産品和服務的設計階段将安全性放在首位,更加注重默認啓用的保護,并改進對當前和未來威脅的控制和監控。
IT 之家從公告中注意到,微軟還提出了六項承諾:
保護身份和秘密。微軟承諾在其身份和機密基礎設施中實施 " 一流标準 ",以便 100% 的用戶帳戶受到多因素身份驗證的保護,100% 的應用程序受到證書等托管憑據的保護。
保護租戶并隔離生産系統。微軟正在采取一種方法來确保隻有健康、受管理且安全的設備才能訪問公司的一組服務,同時爲 100% 的應用程序提供最低特權訪問模型(最低級别的訪問或權限)。
保護網絡。微軟承諾通過對所有生産環境應用隔離和微分段,确保 100% 的生産網絡和連接到網絡的系統的安全,從而幫助針對攻擊者建立額外的防禦。
保護工程系統。微軟表示,它将通過零信任和最低權限訪問策略 100% 保證對其源代碼的訪問。部署到生産環境的任何源代碼也将受到安全最佳實踐的保護,測試環境也将具有标準化的安全性和基礎設施隔離。
監視和檢測威脅。微軟承諾将所有安全日志保留兩年,并向客戶提供六個月的 " 适當日志 "。它還将自動檢測并 " 快速 " 響應 100% 的微軟生産基礎設施和服務中的可疑訪問或配置更改。
加快響應和修複。目标通過更多的 " 及時修複 " 來防止未修補的漏洞被利用。微軟承諾通過采用通用弱點枚舉(CWE)和通用平台枚舉(CPE)行業标準,減少修複 " 高嚴重性 " 雲安全漏洞所需的時間,并提高這些問題的透明度。
此外,微軟的工程主管現在每周和每月舉行運營會議,其中包括各種管理人員和高級人員,目的是提高微軟在整個公司的安全思維。微軟還在每個産品團隊中增加了副首席信息安全官(CISO)職位,并将其威脅情報團隊直接向 CISO 報告。
