专家传真－建构更安全的网路世界

图／摘自Pixabay

微软在今年10月发布的《2024年度数位防御报告》指出，微软用户每天面临超过6亿次的网路攻击，过去一年勒索软体攻击数量更增加了2.75倍，攻击者开始使用生成式AI技术来提升攻击效率。为了因应不断增长的网路风险，微软于去年11月发起「安全未来倡议」（SFI），至今已投入相当于34,000名全职工程师的资源，这是微软有史以来最大的网路安全工程。今年微软再扩大SFI范围，将安全性视为首要任务，确保解决方案能因应不断演进的威胁态势。

■扩展SFI方法和范畴

「安全未来倡议」不仅扩及至微软的每个部门，资安也成为所有微软员工的核心优先事项，并被纳入绩效评估当中。此外，微软成立「网路安全治理委员会」，更推出「安全技能学院」，针对全球员工提供个人化的安全培训，确保每位员工在日常工作中视安全性为优先。微软承诺将透过三大安全原则、以及六大安全支柱来具体落实安全未来倡议：

三大安全原则，包括：1、以安全为设计核心：设计产品或服务时，将安全性视为第一优先。2、预设启用安全性保护设定：预设启用并强制执行安全保护措施。3、安全营运机制：不断改进安全控制和监测措施，以应对当前和未来的威胁。

至于六大安全支柱，我们谈到：

1、保护身分和机密：在所有身分和机密基础设施、以及使用者和应用程式身分验证和授权中实施和强制执行最佳标准，减少未经授权存取的风险。根据今年九月最新发布的安全未来倡议进度报告指出，微软已使用Azure管理的硬体安全模组（HSM）服务来管理密钥，推动广泛采用标准身分SDK，为超过73％的应用发行凭证提供一致的安全验证。

2、保护租户并区隔生产系统：使用最佳的安全机制与严格的隔离机制，保护所有租户及生产环境，将影响范围缩至最小。我们已经完成了所有生产和企业租户的应用生命周期管理，删除73万个未使用应用程式和575万个非活跃租户，大幅减少潜在网路攻击面。

3、保护网路：透过改善隔离、监控、资产管理和安全营运，确保生产网路和相关连接系统的安全。目前，超过99％的实体资产已记录在中央资产清单系统中，并整合了所有权和韧体合规性的追踪功能。

4、保护工程系统：透过治理供应链和工程系统基础设施，保护软体资产并提高程式代码的安全性。目前微软在商业云的85％生产建置管道中已采用集中治理范本，强化部署的一致性、效率与可靠性。

5、监视和侦测威胁：全面覆盖和自动侦测对于生产基础架构和服务的威胁。所有微软生产基础设施和服务上已推动标准化的安全稽核日志，确保关键的遥测数据能被发出，并且至少保留两年。

6、加快回应和修复速度：透过即时的补救措施，防止漏洞被利用。微软成立了「客户安全管理办公室」（CSMO），改善安全事件的公共讯息发布并增强客户互动。

■持续改进并建立新的治理机制

安全未来倡议使微软能够具体实施必要的修正措施，将安全性视为第一优先考量。微软从过去的资安事件中汲取经验，并将其反馈到安全标准中，以实现大规模的安全设计和营运措施。

微软正积极实施由资安长（CISO）引领的新安全治理框架。工程团队将与新设立的副资安长之间紧密合作，共同监督 SFI、管理风险并向高阶领导团队报告进度。鉴于威胁情报的重要性，微软也将国家级行动和威胁猎捕能力等相关内容整合至CISO组织当中。

文化只能透过日常行为来加强；安全就如同团队运动，需打破组织间的框架，并建立跨越国界、产业、民间企业与公家机构的强大合作关系。微软的存在基于信任，作为软体、基础架构和云服务的全球供应商，我们背负重大责任，将安全视为首要任务，持续改进与调整策略，以因应日益严峻的网路威胁，保护全球客户的数位安全。