專家傳真-建構更安全的網路世界

微軟在今年10月發布的《2024年度數位防禦報告》指出,微軟用戶每天面臨超過6億次的網路攻擊,過去一年勒索軟體攻擊數量更增加了2.75倍,攻擊者開始使用生成式AI技術來提升攻擊效率。為了因應不斷增長的網路風險,微軟於去年11月發起「安全未來倡議」(SFI),至今已投入相當於34,000名全職工程師的資源,這是微軟有史以來最大的網路安全工程。今年微軟再擴大SFI範圍,將安全性視為首要任務,確保解決方案能因應不斷演進的威脅態勢。

■擴展SFI方法和範疇

「安全未來倡議」不僅擴及至微軟的每個部門,資安也成為所有微軟員工的核心優先事項,並被納入績效評估當中。此外,微軟成立「網路安全治理委員會」,更推出「安全技能學院」,針對全球員工提供個人化的安全培訓,確保每位員工在日常工作中視安全性為優先。微軟承諾將透過三大安全原則、以及六大安全支柱來具體落實安全未來倡議:

三大安全原則,包括:1、以安全為設計核心:設計產品或服務時,將安全性視為第一優先。2、預設啟用安全性保護設定:預設啟用並強制執行安全保護措施。3、安全營運機制:不斷改進安全控制和監測措施,以應對當前和未來的威脅。

至於六大安全支柱,我們談到:

1、保護身分和機密:在所有身分和機密基礎設施、以及使用者和應用程式身分驗證和授權中實施和強制執行最佳標準,減少未經授權存取的風險。根據今年九月最新發布的安全未來倡議進度報告指出,微軟已使用Azure管理的硬體安全模組(HSM)服務來管理密鑰,推動廣泛採用標準身分SDK,為超過73%的應用發行憑證提供一致的安全驗證。

2、保護租戶並區隔生產系統:使用最佳的安全機制與嚴格的隔離機制,保護所有租戶及生產環境,將影響範圍縮至最小。我們已經完成了所有生產和企業租戶的應用生命周期管理,刪除73萬個未使用應用程式和575萬個非活躍租戶,大幅減少潛在網路攻擊面。

3、保護網路:透過改善隔離、監控、資產管理和安全營運,確保生產網路和相關連接系統的安全。目前,超過99%的實體資產已記錄在中央資產清單系統中,並整合了所有權和韌體合規性的追蹤功能。

4、保護工程系統:透過治理供應鏈和工程系統基礎設施,保護軟體資產並提高程式代碼的安全性。目前微軟在商業雲的85%生產建置管道中已採用集中治理範本,強化部署的一致性、效率與可靠性。

5、監視和偵測威脅:全面覆蓋和自動偵測對於生產基礎架構和服務的威脅。所有微軟生產基礎設施和服務上已推動標準化的安全稽核日誌,確保關鍵的遙測數據能被發出,並且至少保留兩年。

6、加快回應和修復速度:透過即時的補救措施,防止漏洞被利用。微軟成立了「客戶安全管理辦公室」(CSMO),改善安全事件的公共訊息發布並增強客戶互動。

■持續改進並建立新的治理機制

安全未來倡議使微軟能夠具體實施必要的修正措施,將安全性視為第一優先考量。微軟從過去的資安事件中汲取經驗,並將其反饋到安全標準中,以實現大規模的安全設計和營運措施。

微軟正積極實施由資安長(CISO)引領的新安全治理框架。工程團隊將與新設立的副資安長之間緊密合作,共同監督 SFI、管理風險並向高階領導團隊報告進度。鑒於威脅情報的重要性,微軟也將國家級行動和威脅獵捕能力等相關內容整合至CISO組織當中。

文化只能透過日常行為來加強;安全就如同團隊運動,需打破組織間的框架,並建立跨越國界、產業、民間企業與公家機構的強大合作關係。微軟的存在基於信任,作為軟體、基礎架構和雲服務的全球供應商,我們背負重大責任,將安全視為首要任務,持續改進與調整策略,以因應日益嚴峻的網路威脅,保護全球客戶的數位安全。

更多工商時報報導
大宇資業外補 11月每股賺13.47元
台積赴日設廠拍板 化工股沾光
大成大手筆 大陸蚌埠建新廠