專家傳真－建構更安全的網路世界

圖／摘自Pixabay

微軟在今年10月發佈的《2024年度數位防禦報告》指出，微軟用戶每天面臨超過6億次的網路攻擊，過去一年勒索軟體攻擊數量更增加了2.75倍，攻擊者開始使用生成式AI技術來提升攻擊效率。爲了因應不斷增長的網路風險，微軟於去年11月發起「安全未來倡議」（SFI），至今已投入相當於34,000名全職工程師的資源，這是微軟有史以來最大的網路安全工程。今年微軟再擴大SFI範圍，將安全性視爲首要任務，確保解決方案能因應不斷演進的威脅態勢。

■擴展SFI方法和範疇

「安全未來倡議」不僅擴及至微軟的每個部門，資安也成爲所有微軟員工的核心優先事項，並被納入績效評估當中。此外，微軟成立「網路安全治理委員會」，更推出「安全技能學院」，針對全球員工提供個人化的安全培訓，確保每位員工在日常工作中視安全性爲優先。微軟承諾將透過三大安全原則、以及六大安全支柱來具體落實安全未來倡議：

三大安全原則，包括：1、以安全爲設計核心：設計產品或服務時，將安全性視爲第一優先。2、預設啓用安全性保護設定：預設啓用並強制執行安全保護措施。3、安全營運機制：不斷改進安全控制和監測措施，以應對當前和未來的威脅。

至於六大安全支柱，我們談到：

1、保護身分和機密：在所有身分和機密基礎設施、以及使用者和應用程式身分驗證和授權中實施和強制執行最佳標準，減少未經授權存取的風險。根據今年九月最新發布的安全未來倡議進度報告指出，微軟已使用Azure管理的硬體安全模組（HSM）服務來管理密鑰，推動廣泛採用標準身分SDK，爲超過73％的應用發行憑證提供一致的安全驗證。

2、保護租戶並區隔生產系統：使用最佳的安全機制與嚴格的隔離機制，保護所有租戶及生產環境，將影響範圍縮至最小。我們已經完成了所有生產和企業租戶的應用生命週期管理，刪除73萬個未使用應用程式和575萬個非活躍租戶，大幅減少潛在網路攻擊面。

3、保護網路：透過改善隔離、監控、資產管理和安全營運，確保生產網路和相關連接系統的安全。目前，超過99％的實體資產已記錄在中央資產清單系統中，並整合了所有權和韌體合規性的追蹤功能。

4、保護工程系統：透過治理供應鏈和工程系統基礎設施，保護軟體資產並提高程式代碼的安全性。目前微軟在商業雲的85％生產建置管道中已採用集中治理範本，強化部署的一致性、效率與可靠性。

5、監視和偵測威脅：全面覆蓋和自動偵測對於生產基礎架構和服務的威脅。所有微軟生產基礎設施和服務上已推動標準化的安全稽覈日誌，確保關鍵的遙測數據能被髮出，並且至少保留兩年。

6、加快回應和修復速度：透過即時的補救措施，防止漏洞被利用。微軟成立了「客戶安全管理辦公室」（CSMO），改善安全事件的公共訊息發佈並增強客戶互動。

■持續改進並建立新的治理機制

安全未來倡議使微軟能夠具體實施必要的修正措施，將安全性視爲第一優先考量。微軟從過去的資安事件中汲取經驗，並將其反饋到安全標準中，以實現大規模的安全設計和營運措施。

微軟正積極實施由資安長（CISO）引領的新安全治理框架。工程團隊將與新設立的副資安長之間緊密合作，共同監督 SFI、管理風險並向高階領導團隊報告進度。鑑於威脅情報的重要性，微軟也將國家級行動和威脅獵捕能力等相關內容整合至CISO組織當中。

文化只能透過日常行爲來加強；安全就如同團隊運動，需打破組織間的框架，並建立跨越國界、產業、民間企業與公家機構的強大合作關係。微軟的存在基於信任，作爲軟體、基礎架構和雲服務的全球供應商，我們揹負重大責任，將安全視爲首要任務，持續改進與調整策略，以因應日益嚴峻的網路威脅，保護全球客戶的數位安全。