正文

公司史上规模最大!微软披露SFI进展 飞天诚信:一切源于……

admin
admin V管理员 /0 评论 /28 阅读
0527
此篇文章发布距今已超过1天,您需要注意文章的内容或图片是否可用!

近日,微软发布了 “安全未来计划”(Secure Future Initiative,简称 SFI)的第二份进展报告。这个被微软称为 “公司史上规模最大的网络安全工程” 的计划,正以坚定的步伐重塑着微软自身、客户以及整个行业的安全防护格局。

SFI 的三大原则:

  • 设计即安全:设计任何产品或服务时,安全是首要事项

  • 默认即安全:默认情况下启用和强制实施安全保护,而无需额外操作,且不可选

  • 安全运行:安全控制和监视将会持续改进,以应对当前和将来的网络威胁

SFI的六大支柱:

  • 保护身份和机密:从基础设施到集成服务,在整个技术栈的每一层强化对身份和秘密信息的保护;

  • 保护租户隔离生产系统:实施一致的、一流的安全实践,并使微软租户与生产环境保持严格的隔离;

  • 保护网络:保护微软生产网络,实现微软与客户资源的网络隔离;

  • 保护工程系统:通过治理软件供应链和工程系统基础设施,保护软件资产并持续提高代码安全性;

  • 监视和检测网络威胁:进行有效的网络威胁巡查,开发强大的网络威胁检测能力和流程,全面覆盖生产系统基础设施,快速识别和应对威胁;

  • 加速响应和修正:通过全面及时的修正,减少客户面临已知漏洞风险的时间,并确保运营的连续性

其中,保护身份和秘密侧重于通过大力投资现代身份标准来降低与凭证相关的风险。鉴于威胁行为者惯用受损账户、盗取的凭据与令牌实施攻击,微软大刀阔斧推行多因素身份认证()。不仅对新租户默认启用,更在Microsoft Azure门户、Microsoft Entra管理中心、Intune 管理中心以及Microsoft 365管理中心强制推行。为化解在包含多种用户角色(管理员、开发人员、营销团队等)、多种设备PC、手机、平板电脑等)、多种操作系统平台Windows、macOS、iOS、Android、Linux乃至虚拟桌面)的高度混合环境下统一部署抗钓鱼MFA的难题,微软依据风险、团队、地理位置等维度细分用户与设备,深度挖掘数据价值,开发了新的 Microsoft Entra功能,如Microsoft Authenticator密钥升级与登录体验优化,帮助简化防钓鱼MFA部署。目前,微软建议的防钓鱼MFA方案包括基于PKI的身份认证、Windows Hello for Business、macOS平台单点登录(SSO)、 硬件安全密钥以及Microsoft Authenticator等多元选择。

据披露,在SFI计划的28项目标中,已有5项接近完成,11项取得重大进展。该计划显著提升了微软平台的安全性、威胁检测能力和客户保护水平。在“保护身份和秘密”方面,已有92%的员工账户实施了防钓鱼MFA。

SFI始于2023年11月,截至报告发布,微软已累计投入相当于3.4万名工程师全职工作11个月的工作量。那么,2023年11月发生了什么事?

“从2023年11月下旬开始,威胁行为者通过口令喷洒攻击侵入一个遗留的非生产测试租户帐号,获得了立足点。此后,他们利用该帐号的权限访问了微软公司的少数电子邮件帐号,包括高级领导团队成员及网络安全、法务和其他职能团队员工,并窃取了一些电子邮件及附件。”微软2024年1月向美国证交会(SEC)提交文件中如是说。同年3月,微软发布公告,承认黑客组织在1月份入侵公司网络以后,已扩大了入侵范围并对客户发起进一步攻击,微软正在继续调查安全漏洞的范围。这一事件直接影响到了亚马逊与微软之间的10亿美元大单。

亚马逊与微软在2023年底签署了一项价值10亿美元、为期5年的协议,在亚马逊部署微软云端办公套件Microsoft 365。该协议涵盖100万份许可证,将Word、Excel和Outlook等微软明星应用整合到统一的云端平台中。部署工作最初计划于2023年11月开始,然而,由于上述攻击事件暴露出微软的众多安全问题,亚马逊决定暂停实施该协议。微软随后部署了一支工程团队,负责解决亚马逊提出的安全问题(“我们对微软的要求标准与对我们内部服务团队的标准完全一致”,亚马逊CISO表示)。尽管亚马逊和微软声称“在解决安全问题方面取得了显著进展”,但双方均未公布恢复部署的具体时间表。

10亿美元、3.4万名工程师、11个月……所有这些,都源于未及时撤销的账号和它的弱密码(口令)。

飞天诚信是微软智能安全协会(Microsoft Intelligent Security Association,简称 MISA)的成员。MISA由微软顶级安全合作伙伴组成,包括独立软件供应商 (ISV) 和托管安全服务提供商 (MSSP),致力于将自己的解决方案与微软安全产品相集成。MISA的成员都是来自网络安全行业的专家,其共同目标是提升客户的安全性。2017 年,飞天诚信便与微软合作推出了基于FIDO2生物识别的 “无密码” 身份认证安全解决方案,积累了丰富的 “无密码” 身份认证经验。例如,BioPass FIDO2 Pro配置了指纹模组,用户可以通过US接口或NFC接口将它连接到电脑,并使用指纹快速、安全地完成账号登录或单点登录(值得一提的是,使用BioPass FIDO2 硬件安全密钥,用户无需担心自己的手机号会暴露给微软)。

在数字化浪潮汹涌澎湃的当下,网络安全已然成为企业稳健发展的生命线。微软的 “安全未来计划” 不仅彰显了其在安全领域的雄心壮志,更为整个行业树立了崭新标杆。它提醒着我们,网络安全不是孤立的技术议题,而是融入产品设计、运营流程、合作伙伴生态的全方位战略。未来,随着技术持续演进,威胁形态日益复杂,唯有像微软这般坚守安全初心、持续深耕,方能为数字世界构筑起坚不可摧的防线,让个人用户、企业乃至整个社会都能安心拥抱数字化未来,畅享科技带来的福祉,无需为安全阴霾所扰。

——THE END——


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客