與領(lǐng)導(dǎo)層薪酬掛鉤，微軟將安全視為新的首要任務(wù)

IT之家 5 月 3 日消息，在經(jīng)歷了多年的安全問題和越來越多的批評之后，微軟將安全作為每位員工的首要任務(wù)。

美國網(wǎng)絡(luò)安全審查委員會最近發(fā)布了一份措辭嚴(yán)厲的報告，得出“微軟的安全文化不足，需要徹底改革”的結(jié)論，為此，它概述了一套與微軟高級領(lǐng)導(dǎo)團(tuán)隊薪酬方案相關(guān)的安全原則和目標(biāo)。

去年 11 月，微軟宣布了一項安全未來計劃（SFI），以應(yīng)對該公司面臨越來越大的壓力。微軟安全執(zhí)行副總裁 Charlie Bell 在今天的博客文章中解釋道：“我們將安全性作為微軟的首要任務(wù)，高于其他所有功能。我們將根據(jù)在實現(xiàn)安全計劃和里程碑方面的進(jìn)展情況，來確定公司高級領(lǐng)導(dǎo)團(tuán)隊的部分薪酬，從而灌輸問責(zé)制?！?/p>

微軟現(xiàn)在制定了三項安全原則，構(gòu)成了這些目標(biāo)的重要組成部分：設(shè)計安全；默認(rèn)情況下安全；安全運營。這些原則旨在在產(chǎn)品和服務(wù)的設(shè)計階段將安全性放在首位，更加注重默認(rèn)啟用的保護(hù)，并改進(jìn)對當(dāng)前和未來威脅的控制和監(jiān)控。

IT之家從公告中注意到，微軟還提出了六項承諾：

• 保護(hù)身份和秘密。微軟承諾在其身份和機(jī)密基礎(chǔ)設(shè)施中實施“一流標(biāo)準(zhǔn)”，以便 100% 的用戶帳戶受到多因素身份驗證的保護(hù)，100% 的應(yīng)用程序受到證書等托管憑據(jù)的保護(hù)。

• 保護(hù)租戶并隔離生產(chǎn)系統(tǒng)。微軟正在采取一種方法來確保只有健康、受管理且安全的設(shè)備才能訪問公司的一組服務(wù)，同時為 100% 的應(yīng)用程序提供最低特權(quán)訪問模型（最低級別的訪問或權(quán)限）。

• 保護(hù)網(wǎng)絡(luò)。微軟承諾通過對所有生產(chǎn)環(huán)境應(yīng)用隔離和微分段，確保 100% 的生產(chǎn)網(wǎng)絡(luò)和連接到網(wǎng)絡(luò)的系統(tǒng)的安全，從而幫助針對攻擊者建立額外的防御。

• 保護(hù)工程系統(tǒng)。微軟表示，它將通過零信任和最低權(quán)限訪問策略 100% 保證對其源代碼的訪問。部署到生產(chǎn)環(huán)境的任何源代碼也將受到安全最佳實踐的保護(hù)，測試環(huán)境也將具有標(biāo)準(zhǔn)化的安全性和基礎(chǔ)設(shè)施隔離。

• 監(jiān)視和檢測威脅。微軟承諾將所有安全日志保留兩年，并向客戶提供六個月的“適當(dāng)日志”。它還將自動檢測并“快速”響應(yīng) 100% 的微軟生產(chǎn)基礎(chǔ)設(shè)施和服務(wù)中的可疑訪問或配置更改。

• 加快響應(yīng)和修復(fù)。目標(biāo)通過更多的“及時修復(fù)”來防止未修補(bǔ)的漏洞被利用。微軟承諾通過采用通用弱點枚舉（CWE）和通用平臺枚舉（CPE）行業(yè)標(biāo)準(zhǔn)，減少修復(fù)“高嚴(yán)重性”云安全漏洞所需的時間，并提高這些問題的透明度。

此外，微軟的工程主管現(xiàn)在每周和每月舉行運營會議，其中包括各種管理人員和高級人員，目的是提高微軟在整個公司的安全思維。微軟還在每個產(chǎn)品團(tuán)隊中增加了副首席信息安全官（CISO）職位，并將其威脅情報團(tuán)隊直接向 CISO 報告。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。