微軟將翻修內部安全設計，提出安全未來倡議

微軟總裁Brad Smith在本周四（11/2）揭露了微軟的未來安全倡議（Secure Future Initiative），指出將從3方面著手以推動一個安全的新世界，包括聚焦基於AI的安全防禦、強化基礎軟體工程，以及宣導更強大的國際規範，其中，前兩者將涉及微軟內部大規模的安全翻修。

Smith說，微軟內部在最近幾個月得出了結論，就是網路攻擊的速度、規模與複雜性不斷地提高，需要採取新的應對措施，以追求新一代的網路安全保護，未來安全倡議於焉誕生，並將匯整微軟的每個部分來達到該目標。

根據微軟的統計，過去兩年有40%國家級駭客的攻擊行動都鎖定了重大基礎設施，像是電網、供水系統或醫療機構等，這些領域的服務中斷可能帶來可怕的後果；而微軟所追蹤的123個勒索軟體即服務的聯盟夥伴，自去年9月以來的攻擊次數增加了200%以上，此外，有超過8成的成功攻擊是來自於未列管的裝置。

微軟安全未來倡議其中一個重要支柱是人工智慧（AI），認為AI將徹底顛覆網路安全的傳統遊戲規則。這是因為無所不在的裝置與持續的連網狀態建立了大量的數位資料，而更難以偵測網路攻擊，微軟光是1天內就能自全球的裝置接收超過65兆個訊號，就算地球上的80億人口都能一起尋找網路攻擊的證據，可能也永遠跟不上攻擊行動，然而，AI卻能扮演大海撈針的角色。

此外，微軟也打算利用AI的機器運算速度來擊敗網路攻擊。目前最大的網路安全挑戰之一為缺乏資安專業人才，全球短缺了逾300萬的相關人才；同時攻擊的速度、規模與複雜性造就了不對稱性，令組織難以大規模地預防或破壞攻擊。因此，微軟的Security Copilot整合了大型語言模型及安全模型，可自複雜資料生成自然語言的見解與建議，以機器的速度來防範攻擊。

對於那些經常成為駭客入口的未列管裝置，則可藉由嵌入AI檢測能力的Microsoft Defender for Endpoint 進行管理，第一時間攔截來自手機、筆電或伺服器的入侵企圖。

Microsoft Security執行副總裁Charlie Bell則詳細說明了微軟內部軟體工程的相關變更，包括軟體開發的轉型，採用新的身分保護，以及加快漏洞回應速度。

Bell表示，微軟將藉由自動化與AI改變軟體的開發方式，將安全開發生命周期（SDL）變成動態SDL（dSDL），於撰寫程式、測試、部署及運作的過程中，把持續整合與持續發布（CI/CD）擴展至持續整合保護以對抗新興的威脅。

同時微軟亦將加速及自動化威脅建模，把執行程式碼分析的CodeQL部署到所有的商用產品中，並擴大使用諸如C#、Python、Java與Rust的記憶體安全語言，在程式語言層級便建置安全性以消除常見的傳統軟體漏洞。

此外，微軟將提供更安全的預設值，計畫自動導入Azure租戶的基準安全控制，既可減少手動配置成本，也提高了安全標準；並將建立一個跨裝置、產品及服務的統一身分管理平臺，以減少用戶身分被冒用的機會，並將強制使用標準的身分函式庫；亦準備把身分簽章金鑰移至更強固的Azure HSM（硬體安全模組）與運算基礎設施上，在此一架構中，簽章金鑰不管是在靜態、傳輸或運算過程中都是加密的，並自動允許高頻率的金鑰替換。

在上述強化安全的措施下，微軟預期未來緩解雲端漏洞的所需時間將可縮短50%。

微軟未來安全倡議的最後一個支架是國際規範。其實微軟在2017年就曾呼籲全球應制定數位日內瓦公約（Digital Geneva Convention），以規範網路空間的行為準則。這次Smith重申，所有國家都應該公開承諾，不會在能源、水、食品及醫療保健等關鍵基礎設施供應商的網路上植入軟體漏洞，並應將雲端服務視為重大基礎設施。

Smith指出，各國都不應允許境內任何人，從事可能會危及雲端服務安全性、完整性或機密性的網路活動；也不應為了間諜活動而不分青紅皂白地損害雲端服務的安全性。