继去年11月提出安全未来倡议（Secure Future Initiative，SFI），以及收到美国国土安全部网路安全审查委员会（Cyber Safety Review Board，CSRB）的调查报告之后，微软上周五（5/3）提出了SFI的具体措施，发表SFI的6大支柱，并宣布将部署全新的安全治理框架，新设多个副资安长执位，执行长Satya Nadella更宣告微软将全面以资安为优先的未来政策。

CSRB对微软的调查始于去年微软帐户（MSA）消费者签章金钥的外泄，导致中国骇客组织Storm-0558于微软服务中潜伏超过1个月，渗透欧美地区的25个政府组织，且今年初俄罗斯骇客组织Midnight Blizzard又成功入侵微软一个旧版的测试租户帐户，这次时间长达两个月才被发现。CSRB认为，微软的安全文化不足，才无法防堵这些可以预防的意外，建议微软进行根本性的安全改革。

于是，Nadella上周宣告，未来微软整个组织都将投入SFI，以3大核心概念为基础，分别是安全设计（Secure by Design）、以安全为预设（Secure by Default），以及安全操作（Secure Operations）。因此，未来微软在设计任何产品及服务时，都将以安全为优先；也将在预设情况下启用与强制执行安全保护；亦会持续改善安全控制及监控，以应对当前与未来的威胁。

Nadella表示，安全是个团队运动，不只是微软安全团队的任务，也是每个人的首要之务，亦为客户的最大需求。在面临安全与其它重要事项之间的权衡时，势必以安全为优先；这意味著微软在某些情况下将把安全性置于其它事务之上，不管是发布新功能，或是持续支援旧有系统。

负责安全的微软执行副总裁Charlie Bell则说明了对SFI的具体规画，在基于安全设计、安全预设及安全操作的伞翼下，提出了SFI的6大支柱暨目标，包括保护身分与机密、保护租户并隔离生产系统、保护网路、保护工程系统、监控与检测威胁，以及加快回应与修复速度。

这些目标直接符合微软自Midnight Blizzard事件中所得到的教训，以及CSRB对微软所提出的4个、以及对所有云端服务供应商所提出的12个建议，涵盖安全文化、网路安全最佳实践、审核日志纪录规范、数位身分标准与指南，以及透明度等。

Bell指出，相关的支柱领导者正与各个不同的工程执行副总裁合作，以推动横跨整个微软的工程执行，不管是Microsoft Azure、Windows、Microsoft 365与Security部门，且每周都会有其它的产品团队加入。

为了贯彻SFI的目标，微软实施了新的安全治理框架，将设立多个新的副资安长，建立这些副资安长与工程团队的合作伙伴关系，共同负责监督SFI，管理风险，每周直接向资深管理团队报告，董事会则会参与每季的进度报告。

看起来微软的确计划从根本上改变该公司的安全文化，迄今已强制于微软内部超过100万个 Microsoft Entra ID租户中自动强制执行多因素身分验证，也已于生产及企业租户中移除逾73万个旧版或不符合最新SFI标准的应用程式，同时也扩大了日志纪录以替客户提供更深入的可视性，亦开始透过通用缺陷列表（Common Weakness Enumeration，CWE）来公布微软各种CVE的根本原因。

Bell最后也呼应了执行长Nadella的说法，指出文化只能借由日常行为来强化，在克服组织边界时才能实现安全，并在从下而上、自端到端的问题解决过程中，令安全思维深植于微软。