微软的安全未来计划概述

关键要点

• 微软已消除730,000个未使用的应用程序和5.75百万个非活跃租户，以加强安全。
• 公司为软件生产团队部署了15,000个新设备，并对95%的生产员工实施了视频身份验证。
• 微软在其云环境中更新了Entra ID和Microsoft帐户的访问令牌签名密钥管理流程。
• 此次安全计划是响应去年多起网络入侵事件的举措，旨在提升安全性。

微软目前已经按照其全面的安全未来计划（Secure Future Initiative, SFI），清理了约730,000个闲置应用程序和5.75百万个非活跃的租户，以提升安全性。这项计划是为了应对去年发生的几起重大网络入侵事件，旨在加强云环境的安全保护。

在过去三个月，公司还为软件生产团队部署了15,000台新设备，并为95%的生产员工实施了视频身份验证。此外，微软还更新了其EntraID和Microsoft帐户（MSA）的流程，以生成、存储和轮换公共和政府云的访问令牌签名密钥。

安全未来计划

这项计划是微软为减少攻击面、增强云身份与认证机制及提升威胁检测与响应能力而采取的更广泛努力的一部分。微软安全执行副总裁查理·贝尔（CharlieBell）在提到：“自从该计划启动以来，我们已投入相当于34,000名全职工程师的资源，使其成为历史上最大的网络安全工程项目。”

微软于2023年11月启动了安全未来计划，此时不久前中国的Storm-0558黑客已经侵入了公司的ExchangeOnline基础设施，并获取了两打以上政府机构的电子邮件账户。受影响的包括处理美国与中国关系的高级官员。在2023年发生的第二起事件中，微软直到2024年1月才发现并报告，俄罗斯的通过低技术的密码喷射攻击侵入了公司的企业邮件账户。

美国国土安全部的网络安全审查委员会（CSRB）对Storm-0558事件进行了，结果认为此次入侵源自微软在战略和文化层面的一系列安全失败。委员会提出了数项建议，以，特别是在身份和认证方面。

微软在安全未来计划中确定了六个改进领域：身份和秘密管理；云租户和生产系统的安全；工程系统保护；网络安全；威胁检测和监控；以及事件响应和修复。

微软的全面安全变更

贝尔本周的报告更新了公司在这些领域的进展。以EntraID和Microsoft帐户的更新为例，这是为了更好地保护远程认证的重要签名密钥，避免其被滥用。Storm-0558的攻击者利用了一个错误的签名密钥和微软认证系统中的一个漏洞，使自己能够访问全球几乎所有的ExchangeOnline账户。

同样，清除成百上千个未使用的应用程序和数百万个非活跃租户的举措也是减少可能攻击面的一部分，防止攻击影响云租户和生产系统。

在网络安全方面，微软已经实施了改进可见性机制。公司现在维护着生产网络上99%以上物理资产的中央清单。“虚拟网络的后端连接与微软公司网络隔离，并接受全面的安全审查以减少横向移动，”贝尔写道。

为保护工程系统，微软开始对85%的商业云生产构建使用集中管理的管道模板，将个人访问令牌的生命周期缩短至七天，并禁用内部微软工程库的安全外壳访问。现在，微软的软件开发过程中的关键环节必须进行存在证明检查。

高层问责制

这是微软提供的关于安全未来计划进展的第二次更新。先前在重点关注了微软在组织层面对安全所做的更改，包括将高管的薪酬与特定安全目标和里程碑挂钩，更紧密地将威胁情报团队与企业CISO办公室结合，并要求工程和安全团队协作。

这些组织层面的变更旨在确保高层管理人员对安全的直接负责。