《微软把安全工作与员工绩效考核挂钩》
目录
-
引言
-
比尔・盖茨之承诺
-
微软安全的千亿营收
-
1亿元漏洞赏金
-
未来安全计划(SFI)
-
安全高于一切
-
结束
引言
据外媒 The Verge 报道,在经历了多年的安全问题和越来越多的批评之后,微软将安全作为每位员工的首要任务。从8 月 6 日开始,微软将其安全工作与员工绩效评估联系起来。
比尔・盖茨之承诺
二十二年前,微软优秀安全工程师米歇尔・霍华德(Michael Howard)和戴维・勒布兰科(David LeBlanc)撰写的《编写安全代码》一书被软件开发人员奉为圭臬。比尔・盖茨也深受影响。掩卷沉思后,他决定变革微软软件编写方式,把安全性和可靠性列为首要追求目标。
2003年。自那一年开始,微软在操作系统产品和Windows Server 2003上使用威胁模型(Treat Modeling),用于了解系统安全威胁,明确来自这些威胁的风险,并建立适当的缓解措施的流程。
微软提出了“STRIDE安全威胁模型”分别指向六种安全威胁,即身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)和特权提升(Elevation of Privilege)。
微软强调的是从设计阶段就融入安全因素(即Security by Design),具体管理方式是“安全开发的生命周期管理”即截止今天依旧被全世界很多互联网厂商作为安全建设最重要一环的SDLC。
二十二年过去了,盖茨的承诺成了竹篮打水。微软发现自己身处的网络环境之复杂,软件的更新迭代已上升到一个极其复杂多变且充满安全威胁的空间,与二十二年前截然不同勒索软件、供应链攻击、隐私漏洞、有国家背景的黑客、恶意程序、蠕虫病毒以及在大模型背景下的新的安全挑战等等,无时无刻不再动摇着网络安全的根基。
微软安全的千亿营收
保护软件和网络安全已成为微软及其他公司面临的最具挑战性的工作之一。为应对不可预知的未来,微软已开始有所动作——首先对公司内部的原有设置进行整合,成立新的安全、合规、身份与管理部门(Security, Compliance, Identity, and Management Organization)。预计该部门员工将达到1万人,占微软员工总人数(约20万人)的5%,主要职责是安全产品和服务的研究与发布。需要指出的是,新部门将主要从战略层面上对网络与软件安全工作做指导,具体产品的安全内核仍由产品团队内设的安全小组负责。
领导安全、合规、身份与管理部门的高级管理人员也是从亚马逊公司挖来的新人——查理・贝尔(Charlie Bell)。现年66岁的贝尔在亚马逊公司工作超过23年,长期担任该公司负责网络服务的高级副总裁。2021年10月,转任正职无望的贝尔接受了微软的邀请,出任微软公司高级副总裁,负责安全、合规、身份与管理部门的业务。
微软公司提供的数据显示,自2020年下半年SolarWinds公司遭到软件供应链攻击后,勒索软件攻击次数增加了150%,2021年钓鱼软件攻击数量增加600%以上,密码攻击频率增加到每秒钟579次。“网络攻击形势异常严峻和复杂,所以我们应该做点什么,”微软公司高级副总裁瓦苏・亚卡尔(Vasu Jakkal)说。
在此背景下,微软为接下来的安全工作确定了五大重点:
1. 从设计开始就将软件、云服务、计算机固件和硬件的安全因素纳入考虑;
2. 全面应用“零信任”策略。基于“所有网络活动均有漏洞”的假设,把访问请求的数量限制到最小,同时对用户身份进行绝对准确的验证;
3. 为使用其他公司云服务、计算平台和第三方应用软件的用户提供全方位保护;
4. 应用人工智能和自动化技术对网络威胁进行分析和监测;
5. 与其他网络安全公司展开密切合作。
数据显示,其网络安全产品2021年营收创纪录的超过150亿美元(折合人民币954亿元),是最大专业安全公司Palo Alto Networks年营收的三倍。
1亿元漏洞赏金
2022年6月微软官方宣布,在过去12个月中(2021.7-2022.6),他们通过漏洞奖励计划支付了1370万美元(约9299万元)奖金。
作为全球知名科技巨头,微软公司目前拥有17个漏洞奖励计划,广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产,甚至还专门为ElectionGuard开源软件开发工具包(SDK)设置了相应项目。
每年微软都会通过“MSRC最具价值安全精英榜”这一榜单,面向全球对为其安全建设作出卓越贡献的安全研究员们表示表彰与感谢,也希望借此聚全球精英白帽之力,共同提高微软安全水平。
值得关注的是国内安全研究员院凭借其在漏洞挖掘方面的强大技术实力,自2015年起已连续九年登上MSRC安全精英排行榜。其中,2020年,三位国内安全研究员(白帽子)精英更是蝉联了MSRC冠军、亚军和季军的宝座。
不仅如此,国内白帽子黑客在季度榜单中同样是常年霸榜,在过去的MSRC 2021 Q1榜,MSRC 2020 Q2榜,MSRC 2020 Q1榜,国内的安全白帽子黑客都斩获了榜首的宝座,实现了“王者三杀”。
微软表示如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务(DoS)之类的严重漏洞,参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。
事实上,微软在2021年7月1日到2022年6月30日期间,发出的最大单笔奖金达到20万美元,奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。
在这12个月中,共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金,平均每个漏洞的奖金超过12000美元(约8.5万元)。
微软公司表示,他们正根据研究人员的反馈改进现有漏洞奖励计划。今年,该公司还打算进一步引入新的研究挑战和高影响攻击场景。
新增及更新内容将包括Azure SSRF挑战赛,Edge奖励计划纳入Android与iOS平台版本,将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划,并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。
微软公司总结道,“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划,将帮助我们把研究重点集中在影响最大的云漏洞上,具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。”
未来安全计划(SFI)
2024年5月,美国网络安全审查委员会最近发布了一份措辞严厉的报告,得出“微软的安全文化不足,需要彻底改革”的结论,为此,它概述了一套与微软高级领导团队薪酬方案相关的安全原则和目标。
23年11 月,微软宣布了一项安全未来计划(SFI),以应对该公司面临越来越大的压力。微软安全执行副总裁 Charlie Bell 在今天的博客文章中解释道:“我们将安全性作为微软的首要任务,高于其他所有功能。我们将根据在实现安全计划和里程碑方面的进展情况,来确定公司高级领导团队的部分薪酬,从而灌输问责制。”
微软现在制定了三项安全原则,构成了这些目标的重要组成部分:设计安全;默认情况下安全;安全运营。这些原则旨在在产品和服务的设计阶段将安全性放在首位,更加注重默认启用的保护,并改进对当前和未来威胁的控制和监控。
微软还提出了六项承诺:
-
保护身份和秘密。微软承诺在其身份和机密基础设施中实施“一流标准”,以便 100% 的用户帐户受到多因素身份验证的保护,100% 的应用程序受到证书等托管凭据的保护。
-
保护租户并隔离生产系统。微软正在采取一种方法来确保只有健康、受管理且安全的设备才能访问公司的一组服务,同时为 100% 的应用程序提供最低特权访问模型(最低级别的访问或权限)。
-
保护网络。微软承诺通过对所有生产环境应用隔离和微分段,确保 100% 的生产网络和连接到网络的系统的安全,从而帮助针对攻击者建立额外的防御。
-
保护工程系统。微软表示,它将通过零信任和最低权限访问策略 100% 保证对其源代码的访问。部署到生产环境的任何源代码也将受到安全最佳实践的保护,测试环境也将具有标准化的安全性和基础设施隔离。
-
监视和检测威胁。微软承诺将所有安全日志保留两年,并向客户提供六个月的“适当日志”。它还将自动检测并“快速”响应 100% 的微软生产基础设施和服务中的可疑访问或配置更改。
-
加快响应和修复。目标通过更多的“及时修复”来防止未修补的漏洞被利用。微软承诺通过采用通用弱点枚举(CWE)和通用平台枚举(CPE)行业标准,减少修复“高严重性”云安全漏洞所需的时间,并提高这些问题的透明度。
此外,微软的工程主管现在每周和每月举行运营会议,其中包括各种管理人员和高级人员,目的是提高微软在整个公司的安全思维。微软还在每个产品团队中增加了副首席信息安全官(CISO)职位,并将其威胁情报团队直接向 CISO 报告。
安全高于一切
8 月 6 日消息,在经历了多年的安全问题和越来越多的批评之后,微软将安全作为每位员工的首要任务。
据外媒 The Verge 报道,从今天开始,微软将其安全工作与员工绩效评估联系起来。
微软首席人力官 Kathleen Hogan 在一份内部备忘录中概述了公司对员工的期望。“微软的每个人都将安全作为核心优先事项,”Hogan 说。“当面临权衡时,答案是明确而简单的:安全高于一切。”
报道称,微软员工如果对安全缺少关注,可能会影响晋升、绩效加薪和奖金。微软现在已将安全性与多样性和包容性并列作为其关键优先事项之一。现在,这两者都必须成为每位员工绩效对话(内部称为“Connect”)的一部分,以及员工与其经理之间商定的优先事项。
对于技术员工来说,这意味着在项目开始时将安全性纳入产品设计流程,遵循既定的安全实践,并确保产品默认对微软客户来说是安全的。
此外,所有微软员工都需要使用该公司的 Connect 工具进行绩效评估,包括高管人员,他们也将有自己的安全优先事项。作为安全未来计划(SFI)的一部分,微软已经彻底改革了其安全工作,以更好地保护微软的网络、生产系统、工程系统等。
微软内部的许多安全变更并未面向公众,但其中一些已经影响到了外部产品。比如微软将于 9 月终止对 Outlook 个人账户基本身份验证的支持,并于 8 月 19 日删除 Outlook Web 应用的精简版。
Outlook.com、Hotmail 和 Live.com 用户将需要从 9 月 16 日起,通过使用现代身份验证的应用访问其电子邮件账户,这可能会影响一些第三方电子邮件应用以及旧版本的 Outlook、Apple Mail 和 Thunderbird。
微软安全执行副总裁 Charlie Bell 在博客文章中解释道:“我们将安全性作为微软的首要任务,高于其他所有功能。我们将根据在实现安全计划和里程碑方面的进展情况,来确定公司高级领导团队的部分薪酬,从而灌输问责制。”
结束
自22年前微软意识到安全的重要性开始到今天,从微软提出SDLC到如今的DevSecOps文化。在企业建设方面微软已经做的足够好,如今面临更多复杂挑战的时候,微软再次将安全提高到和每一位员工绩效奖金挂钩的高度,这种先见之明和对未来的竞争把控值得我们好好学习。
在大部分甲方企业的认知当中依旧把安全当作一个成本部门。2023年9月8日经济学家薛兆丰老师从经济学的角度阐述了安全其实是一个收益部门。汉德公式的核心也告诉我们谁避免安全事故的成本越低,谁应该分摊的责任就越大。
显然在企业当中,避免安全事故最低成本的部门永远是业务部门,开发部门,运维或者IT部门而不是安全部门。
让每个部门的人员都能意识到安全的重要性,微软无疑从前瞻性的角度又做了一个好的榜样。
推荐阅读
-
期待点赞、评论、转发,您的支持就是我们的动力。 -
欢迎阅读其他文章可能会激发您更多的思考。
关于我们
更多信息可关注公司官网 www.jzatech.com。
点击左下角“阅读原文”查看AGI安全系列文章。
原文始发于微信公众号(AGI安全):微软把安全工作与员工绩效考核挂钩
