2025-04-23 08:46 上海

安小圈

第651期

微软 · 网安工程

微软近日发布了"安全未来计划"(Secure Future Initiative，SFI)的第二份进展报告，这项被称为公司史上最大规模网络安全工程的计划由微软安全执行副总裁查理·贝尔(Charlie Bell)领导，已累计投入相当于3.4万名工程师全职工作11个月的工作量，旨在强化微软自身、客户及整个行业的安全防护。

全员安全文化转型

为应对关键网络安全风险而启动的SFI计划，着重在微软全体员工中培育安全优先的文化。目前每位员工都将"安全核心优先事项"纳入绩效考核，99%的员工已完成《安全基础与可信代码》必修培训。超过5万名员工参加了微软安全学院(Microsoft Security Academy)的网络安全技能提升课程。

"这种转变的核心是赋能，"贝尔强调，"我们的目标是让所有员工都具备保护客户的能力。"

产品安全创新实践

微软工程团队基于"设计安全、默认安全、运营安全"(Secure by Design, Default, and in Operations)原则推出多项创新成果。其中，经过20个产品团队测试、部署给2.2万名员工并对外公开的"安全设计用户体验工具包"(Secure by Design UX Toolkit)尤为突出，该工具包将安全最佳实践嵌入产品开发全流程，帮助团队识别漏洞并确定修复优先级。

在Azure、Microsoft 365、Windows和微软安全产品中，团队新增了11项安全功能以增强默认防护能力。人工智能开发方面，微软通过新成立的"生成式人工智能安全与保障组织"(Artificial Generative Intelligence Safety and Security Organization)实施专项安全审查。《负责任AI透明度报告》中详述的安全运营实践，现已成为所有AI系统的标准配置。通过新政策和检测模型，这些措施还成功拦截了价值40亿美元的欺诈企图。

全面强化威胁防御

报告特别展示了在身份、网络和系统防护方面的重要进展。继2023年Storm-0558攻击事件后，微软已将Entra ID和微软账户(MSA)的令牌签名密钥迁移至基于硬件的安全模块(HSM)和Azure机密虚拟机，并实施自动轮换及新的纵深防御措施。目前微软应用程序90%以上的身份令牌使用强化版身份软件开发工具包，92%的员工账户采用防钓鱼多因素认证。

通过将88%的资源迁移至Azure资源管理器、清理630万个闲置租户，以及限制440万个托管身份只能在特定网络位置进行认证，微软有效降低了横向移动风险。网络安全方面，99%的资产已完成清点，并新增网络安全边界(Network Security Perimeter)和DNS安全扩展等防护功能。

微软的威胁检测与响应能力显著提升，针对主流攻击战术、技术和程序(TTP)新增200余项检测规则，这些规则将集成至Microsoft Defender。公司现已对97%的生产基础设施资产实施集中追踪，并执行安全日志两年留存政策。通过"零日探索"(Zero Day Quest)计划，微软主动发现云和AI系统中的180个漏洞，并将缓解方案扩展至更多产品和环境。

企业级风险管理体系

为加强企业级风险管理，微软新设业务应用副首席信息安全官(Deputy CISO)职位，并整合Microsoft 365等部门的安监职能。14位副CISO已完成风险清单梳理，形成统一的安全优先级视图。这一治理框架确保安全理念贯穿组织各个层级。

在SFI计划的28项目标中，已有5项接近完成，11项取得重大进展。该计划显著提升了微软平台的安全性、威胁检测能力和客户保护水平。"我们的平台和服务比以往任何时候都更安全，"贝尔表示，"这既造福微软，也惠及我们的客户。"

微软还积极与安全研究社区合作，共享"安全设计用户体验工具包"等工具以提升行业标准。完整版SFI进展报告现已发布，详细阐述了各项成果及微软对网络安全的持续承诺。

END

【内容来源：Free Buf 】