微软首席执行官萨蒂亚·纳德拉(Satya Nadella)在发给员工的一份备忘录中表示,“如果你面临安全性和另一个优先事项之间的权衡,你的答案很明确:注重安全性。”
在发给员工的一份备忘录中,微软首席执行官萨蒂亚·纳德拉(Satya Nadella)对最近一份关于公司安全实践的严厉联邦报告做出了回应,敦促员工在必要时将安全性置于新功能发布之上。
“如果你面临安全和另一个优先事项之间的权衡,你的答案很明确:安全,”纳德拉在The Verge周五发布的备忘录中写道。
他在备忘录中写道:“在某些情况下,这意味着将安全性置于我们所做的其他事情之上,例如发布新功能或为遗留系统提供持续支持。” “这是提高我们平台质量和能力的关键,使我们能够保护客户的数字财产并为所有人建立一个更安全的世界。”
微软在周五向我们提供的一份声明中表示,“可以确认 Satya Nadella 今天早上向全公司发送了一封有关安全未来计划的电子邮件。”
这份给微软超过 20 万名员工的备忘录呼应了比尔·盖茨 2002 年给微软员工的著名备忘录“值得信赖的计算”,该备忘录为公司在随后几年对安全的新关注定下了基调。
纳德拉发布备忘录的一个月前,美国联邦审查委员会关于 2023 年微软云电子邮件泄露事件的报告发现,与中国有关的攻击之所以成功,很大程度上是因为这家科技巨头的安全措施松懈。
由国土安全部任命的美国网络安全审查委员会 (CSRB) 最终在这份 34 页的报告中发现,微软需要以更大的方式重新确定其安全优先级。
Microsoft Exchange Online漏洞首次发现于 2023 年 6 月,属于多个美国政府机构的电子邮件帐户遭到泄露。据了解,这次攻击影响了商务部长吉娜·雷蒙多和商务部其他官员的电子邮件。
报告称,在这次攻击中,美国国务院的 10 个账户总共有 60,000 封电子邮件被盗,攻击者“可以访问其中一些基于云的邮箱至少六周”。
微软将这一事件归咎于与中国有关的威胁行为者,该威胁行为者被追踪为“Storm-0558”。
用作者的话来说,CSRB 的报告审查了“微软一系列可避免的错误,这些错误使得这次入侵得以成功”。
报告称,结论是“微软已经偏离了这种精神,需要立即将其恢复为公司的首要任务。”该报告指出,CSRB“意识到微软最近对其安全领导力的变化以及其于 2023 年 11 月宣布的‘安全未来计划’。”
微软当时表示,它将对其软件工程流程进行一系列重大变革,旨在提高其广泛使用的平台的安全性。
去年夏天的云电子邮件泄露事件只是微软一系列重大安全事件中的一个。自该事件曝光以来,微软已经发生了另一起引人注目的违规事件,并引发了更严格的审查——一月份披露的高级管理人员帐户被黑事件。
其他广泛认为的利用 Microsoft 技术中所谓安全缺陷的攻击包括 2020 年的 SolarWinds Orion 攻击和 2021 年利用关键零日漏洞的大规模 Exchange Server 攻击。
