與領導層薪酬掛鉤,微軟將安全視爲新的首要任務

IT之家 5 月 3 日消息,在經歷了多年的安全問題和越來越多的批評之後,微軟將安全作爲每位員工的首要任務。

美國網絡安全審查委員會最近發佈了一份措辭嚴厲的報告,得出“微軟的安全文化不足,需要徹底改革”的結論,爲此,它概述了一套與微軟高級領導團隊薪酬方案相關的安全原則和目標。

去年 11 月,微軟宣佈了一項安全未來計劃(SFI),以應對該公司面臨越來越大的壓力。微軟安全執行副總裁 Charlie Bell 在今天的博客文章中解釋道:“我們將安全性作爲微軟的首要任務,高於其他所有功能。我們將根據在實現安全計劃和里程碑方面的進展情況,來確定公司高級領導團隊的部分薪酬,從而灌輸問責制。”

微軟現在制定了三項安全原則,構成了這些目標的重要組成部分:設計安全;默認情況下安全;安全運營。這些原則旨在在產品和服務的設計階段將安全性放在首位,更加註重默認啓用的保護,並改進對當前和未來威脅的控制和監控。

IT之家從公告中注意到,微軟還提出了六項承諾:

保護身份和秘密。微軟承諾在其身份和機密基礎設施中實施“一流標準”,以便 100% 的用戶帳戶受到多因素身份驗證的保護,100% 的應用程序受到證書等託管憑據的保護。

保護租戶並隔離生產系統。微軟正在採取一種方法來確保只有健康、受管理且安全的設備才能訪問公司的一組服務,同時爲 100% 的應用程序提供最低特權訪問模型(最低級別的訪問或權限)。

保護網絡。微軟承諾通過對所有生產環境應用隔離和微分段,確保 100% 的生產網絡和連接到網絡的系統的安全,從而幫助針對攻擊者建立額外的防禦。

保護工程系統。微軟表示,它將通過零信任和最低權限訪問策略 100% 保證對其源代碼的訪問。部署到生產環境的任何源代碼也將受到安全最佳實踐的保護,測試環境也將具有標準化的安全性和基礎設施隔離。

監視和檢測威脅。微軟承諾將所有安全日誌保留兩年,並向客戶提供六個月的“適當日誌”。它還將自動檢測並“快速”響應 100% 的微軟生產基礎設施和服務中的可疑訪問或配置更改。

加快響應和修復。目標通過更多的“及時修復”來防止未修補的漏洞被利用。微軟承諾通過採用通用弱點枚舉(CWE)和通用平臺枚舉(CPE)行業標準,減少修復“高嚴重性”雲安全漏洞所需的時間,並提高這些問題的透明度。

此外,微軟的工程主管現在每週和每月舉行運營會議,其中包括各種管理人員和高級人員,目的是提高微軟在整個公司的安全思維。微軟還在每個產品團隊中增加了副首席信息安全官(CISO)職位,並將其威脅情報團隊直接向 CISO 報告。