微软周四宣布了其Secure Future Initiative，以更好地解决软件和漏洞问题，在过去几年中攻击者在很多备受瞩目的事件中利用这些软件和漏洞问题。

微软总裁Brad Smith表示，周四的两篇博客文章概述了新举措，其中包括三个支柱，分别是基于AI的网络防御、改进软件工程和“倡导更有力地应用国际规范来保护平民”。他强调，涉及民族国家团体、以关键基础设施为目标并利用基于身份的攻击的日益先进的网络攻击需要新的防御措施。

他说，这些威胁长期存在，因为攻击者和防御者都开始利用基于AI的技术。

Smith在博客中写道：“最近几个月，我们在微软内部得出结论，网络攻击的速度、规模和复杂性不断提高，需要采取新的应对措施。”

作为安全未来计划（SFI）的一部分，新的响应包括三项工程进步。第一个重点是通过自动化和人工智能改进软件开发。这将扩展微软的Security Development Lifecycle，这是 2004 年创建的安全和隐私标准。Smith说，该过程的一部分还将解决多因素身份验证默认设置，以帮助更广泛的客户服务。

在周四发布的一份内部文章中，微软执行副总裁Charlie Bell、Rajesh Jha和Scott Guthrie表示，该公司将增加威胁建模和GitHub的CodeQL，以帮助识别其产品和服务中的安全风险和漏洞。

Bell、Jha和Guthrie称：“我们将加速和自动化威胁建模，将CodeQL用于代码分析部署到100%的商业产品中，并继续扩大微软对内存安全语言（例如C#、Python、Java和Rust）的使用，在语言层面建立安全性并消除整个传统软件漏洞。”

近年来，在软件产品中使用内存安全语言 （MSL） 的速度开始加快。MSL是CISA 在  8 月美国 2023 年黑帽大会上推出的“在设计时考虑安全”计划的一个方面。

在过去几年中，微软面临着几个重大的漏洞问题，并因其在修复和披露这些问题方面的反应而受到多家供应商和安全专家的公开批评。Microsoft Exchange 中的一系列“Proxy”漏洞突出了这些问题，攻击者反复利用这些漏洞。周二，Zscaler详细介绍了它在Microsoft 365应用程序中发现的117个漏洞，这些漏洞源于上传的SketchUp文件。

加强身份验证

SFI的第二个重点是目前正在开发的新身份系统，旨在帮助用户改进整个微软平台和产品的验证和身份验证协议。

Bell、Jha和Guthrie写道：“我们的目标是让以身份为中心的间谍活动和犯罪运营商更难冒充用户。”

9 月，微软透露，一个名为 Storm-0558 的威胁组织通过攻击微软工程师的帐户窃取了  微软帐户签名密钥。通过使用受感染的帐户，攻击者获得了对微软公司网络的访问权限，并发现密钥被意外放置在调试环境中-这是微软的另一个错误。

Storm-0558使用被盗的密钥破坏了多个客户组织的电子邮件帐户，包括一些联邦政府机构。在攻击之后，微软也因其日志记录功能不足而受到批评，后面他们已经解决了这个问题。

SFI 专门针对此类密钥的安全性问题。Bell、Jha和Guthrie写道：“为了领先于攻击者，我们正在将身份签名密钥转移到集成、强化的 Azure HSM 和机密计算基础结构中。在此架构中，签名密钥不仅在静态和传输过程中加密，而且在计算过程中也加密。密钥轮换也将是自动化的，允许高频密钥替换，没有任何人类访问的可能性。”

Smith在他的博客文章中说，在过去一年中，密码攻击“增加了十倍”。他说，微软的目标是通过统一和一致的流程使消费者和企业密钥管理完全自动化，并补充说，这些进步将免费提供给非微软应用程序开发人员。

云漏洞管理

Microsoft SFI 的第三个也是最后一个重点是对云漏洞响应和安全更新的改进建议。为此，微软做出的最大承诺之一是将缓解云漏洞所需的时间减少50%。安全研究人员呼吁微软默默地修补和淡化在其云服务中发现的漏洞。去年，Tenable在向软件巨头报告Azure漏洞后，批评微软在云漏洞方面缺乏透明度。

Smith称：“我们还将鼓励在整个科技行业以更一致的方式进行更透明的报告。”

Trend Micro公司的Zero Day Initiative威胁意识主管Dustin Childs表示，SFI可能标志着微软的重要时刻，与创始人比尔·盖茨在2002年签署的可信计算（TwC）备忘录相匹配。

Childs称：“我特别喜欢他们将漏洞响应作为原则，但我担心重点似乎是专门针对云计算。现在攻击者仍然喜欢攻击很多本地软件和服务。2014 年，当最初的 TwC小组解散时，我们看到漏洞响应受到了打击。让我们希望他们能从中吸取教训，不要犯同样的错误。”