隨著一系列重大安全問題曝光,微軟(Microsoft)近期採取了多項行動來加強其網路安全架構。
延攬資深安全專家,組織 3.4 萬名全職資安工程師
為了修復問題、重振客戶信心,微軟積極延攬多位高階安全專家加入團隊。包括擁有 26 年 FBI 資歷的 Timothy Langan 擔任政府事務副資訊安全長,和前美國海軍陸戰隊情報部門 CISO Shawn Bowen 來負責遊戲部門的安全。
同時,微軟還將團隊的核心高層如 Azure 的技術長 Mark Russinovich 和資深副總裁 John Lambert 指派為新的資安長成員之一。
這一系列行動,都是微軟「Secure Future Initiative」(安全未來計畫)的一部分──這個計畫於 2023 年 11 月首次公佈,就是為了應對外界批評以及政府報告中指出的微軟安全文化薄弱的問題。
同時,這項改革也是微軟 20 多年來最大規模的網路安全變革,希望能全面加強軟體的安全韌性。微軟表明,現在有約 34,000 名全職工程師專注於安全領域工作,以確保公司可以有效應對日益增長的網路威脅。
微軟的最大挑戰:在安全與快速創新之間取平衡
微軟面臨的最大挑戰之一,是如何在網路安全與市場競爭壓力之間取得平衡。用戶對於微軟產品更新速度的期待,也帶來了潛在的安全風險。
微軟安全部門負責人 Charlie Bell 表示,客戶不斷要求新的功能更新,但安全威脅卻沒有同樣明顯的外部壓力,因此內部需要不斷調整,以平衡這兩者之間的矛盾。
這樣的安全與更新衝突,可以從最近的一些事件中看出。
例如今年資安公司 CrowdStrike 的一個軟體安全更新,導致全球 Windows 系統故障,讓微軟不得不重新思考如何調整與安全合作夥伴的產品發佈流程。
此外,微軟 AI 團隊在今年 5 月曾推出一款名為「Recall」的新 Windows功能,用以記錄用戶在 PC (電腦)上的所有操作。但這項功能一宣布推出,就立刻引起了安全專家的擔憂,最終微軟不得不緊急撤回這項功能,並進行修改。(編按:微軟副資安長 Ann Johnson 表示,內部也對此為團隊擬定明確的指引──標準化工具和清單,確保所有新功能和程式碼符合安全標準。)
這些事件都可以看出在快速創新與產品安全之間的微妙平衡,以及在新技術推出過程中存在的潛在風險。
微軟重新對待產品安全的另一跡象──納德拉開會緊盯
為了徹底解決安全問題,微軟執行長納德拉(Satya Nadella)要求將網路安全放在首位。
他在每週的高層會議中,專門留出一小時,討論安全改革的進展,並針對仍需解決的「痛點」進行深入探討。
納德拉也特別要求團隊,不要再討論外界對微軟網路安全問題的批評是否公平,而是全力投入修復工作。他強調,不要讓會議變成自我誇讚的舞台,「我不想讓一個會議告訴我一切有多棒。」
此外,微軟還制定了一套內部改革措施,包括設立「網路安全治理委員會」以及在員工的績效考核中加入「安全」的評分項,讓安全表現和高階領導的薪酬表現有一定的相關性。
同時,微軟也推行了全員安全培訓,並針對工程師團隊提供標準化工具和檢查清單,以確保所有新功能和程式碼在推出前,能符合公司的安全標準。
微軟這次的安全改革顯示出對產品安全的高度重視。隨著數位威脅的日益增加,微軟正積極調整內部文化和流程,以確保未來產品的安全性和韌性。同時,納德拉對於「痛點」的專注也表明,微軟正在認真對待外界批評,力求在網路安全領域恢復地位。
【推薦閱讀】
◆ 消費者遭詐騙企業有責!Gogolook 推 ScamAdviser 用 3 大方案解決企業反詐需求
*本文開放合作夥伴轉載,資料來源:《Bloomberg》、《Cyber Scoop》。首圖來源:取自 Microsoft。
(責任編輯:廖紹伶)
