與領導層薪酬掛鉤，微軟將安全視爲新的首要任務

IT之家 5 月 3 日消息，在經歷了多年的安全問題和越來越多的批評之後，微軟將安全作爲每位員工的首要任務。

美國網絡安全審查委員會最近發佈了一份措辭嚴厲的報告，得出“微軟的安全文化不足，需要徹底改革”的結論，爲此，它概述了一套與微軟高級領導團隊薪酬方案相關的安全原則和目標。

去年 11 月，微軟宣佈了一項安全未來計劃（SFI），以應對該公司面臨越來越大的壓力。微軟安全執行副總裁 Charlie Bell 在今天的博客文章中解釋道：“我們將安全性作爲微軟的首要任務，高於其他所有功能。我們將根據在實現安全計劃和里程碑方面的進展情況，來確定公司高級領導團隊的部分薪酬，從而灌輸問責制。”

微軟現在制定了三項安全原則，構成了這些目標的重要組成部分：設計安全；默認情況下安全；安全運營。這些原則旨在在產品和服務的設計階段將安全性放在首位，更加註重默認啓用的保護，並改進對當前和未來威脅的控制和監控。

IT之家從公告中注意到，微軟還提出了六項承諾：

保護身份和秘密。微軟承諾在其身份和機密基礎設施中實施“一流標準”，以便 100% 的用戶帳戶受到多因素身份驗證的保護，100% 的應用程序受到證書等託管憑據的保護。

保護租戶並隔離生產系統。微軟正在採取一種方法來確保只有健康、受管理且安全的設備才能訪問公司的一組服務，同時爲 100% 的應用程序提供最低特權訪問模型（最低級別的訪問或權限）。

保護網絡。微軟承諾通過對所有生產環境應用隔離和微分段，確保 100% 的生產網絡和連接到網絡的系統的安全，從而幫助針對攻擊者建立額外的防禦。

保護工程系統。微軟表示，它將通過零信任和最低權限訪問策略 100% 保證對其源代碼的訪問。部署到生產環境的任何源代碼也將受到安全最佳實踐的保護，測試環境也將具有標準化的安全性和基礎設施隔離。

監視和檢測威脅。微軟承諾將所有安全日誌保留兩年，並向客戶提供六個月的“適當日誌”。它還將自動檢測並“快速”響應 100% 的微軟生產基礎設施和服務中的可疑訪問或配置更改。

加快響應和修復。目標通過更多的“及時修復”來防止未修補的漏洞被利用。微軟承諾通過採用通用弱點枚舉（CWE）和通用平臺枚舉（CPE）行業標準，減少修復“高嚴重性”雲安全漏洞所需的時間，並提高這些問題的透明度。

此外，微軟的工程主管現在每週和每月舉行運營會議，其中包括各種管理人員和高級人員，目的是提高微軟在整個公司的安全思維。微軟還在每個產品團隊中增加了副首席信息安全官（CISO）職位，並將其威脅情報團隊直接向 CISO 報告。