以AI強化防禦力、全面提升基礎軟體工程安全性、推動國際網路安全規範
微軟發起「安全未來倡議」宣示共同打造網路安全新世界
AI浪潮不僅加速了創新以及重塑社會的互動和運作方式,也讓網路犯罪和國家型攻擊者運用最新的科技發動精密及複雜的攻擊行動,造成社區與國家安全上的威脅。微軟宣布發起安全未來倡議(Microsoft Secure Future Initiative),這是一項由微軟總裁Brad Smith發起,以因應日益嚴峻的網路威脅環境,並保護客戶數位安全的全球性計畫,其中涵蓋三大面向:1.利用AI強化網路防禦能力;2.全面提升軟體工程品質和安全性;3.推動國際制定更有效的網路規範,保障民眾免受網路威脅。期許透過全球政府、民間企業、社會大眾的緊密合作,共同建構一個更安全的未來。
!此為分頁標誌前台不顯示!
微軟啟動一項新的標準,透過改變設計、建構、測試和運營微軟技術的方式,以全面提高其安全性,其中包括三項關鍵步驟:
- 透過自動化和AI改變軟體開發的方式:因應網路安全威脅和生成式AI的發展,推出「動態安全開發生命週期」(dSDL),這是一套系統化的流程,讓工程師在開發、測試、部署和運營微軟的系統和服務時,能夠持續防範新的攻擊模式。dSDL還結合了其他的工程措施,例如使用AI的安全程式碼分析和GitHub Copilot來審核和測試原始程式碼。微軟也預計在未來一年內,為客戶提供更安全的多因素驗證(MFA)預設值設定,擴大其適用範圍,並針對客戶最需要保護的地方加強安全性。
- 加強身份識別保護以防止高度精密的攻擊:密碼攻擊在過去一年中增加了10倍,國家和網路犯罪份子開發了更精密的技術來竊取和使用登錄憑證。微軟將以最新的身份保護技術,統一管理和驗證所有微軟產品和平台上的使用者、裝置和服務的身份和存取權限,並免費開放給非微軟應用程式開發者。微軟還將採用新的金鑰管理系統,奠基於微軟的機密運算架構和硬體安全模組(HSM),HSM將金鑰儲存在硬體中,並對數據進行全方位加密。採取完全自動化且高安全性,即使底層流程被破壞,金鑰也無法被存取。
- 推動微軟雲端平台的漏洞回應和安全更新:微軟計劃將修復雲端漏洞所需的時間減少50%,並鼓勵在整個科技業界以更透明、更一致的方式進行資安漏洞通報。
在2017年微軟即呼籲建立「數位日內瓦公約」(Digital Geneva Convention),以規範國家和非國家行動者在網路世界中的行為,保護大眾免受日益擴大的網路威脅。如今在網路世界所需的是一個更強大、更廣泛的國際社會公開承諾,以共同對抗針對基礎設施的網路攻擊行動,需要政府、民間機構以及社會大眾共同團結,並從以下兩方面以推動國際公約:
- 廣泛、公開的支持和強化制定政府不應越過的紅線規範:雲端服務已遍及在社會重要的支柱中,包括供水、食物、能源、醫療、資訊系統等,因此各國應將雲端服務視為關鍵基礎設施,並受到國際法的保護。各國應承諾:(1)不應從事或允許任何在其領土或管轄範圍內的人從事危害雲端服務的安全、誠信或機密性的網路行動;(2)不應為了間諜活動而任意破壞雲端服務安全;(3)各國所發動的網路行動應設法避免對非攻擊目標對象產生傷害。
- 政府之間應加強合作,促使違反規範的國家承擔更大的責任:各國政府之間應展開強而有力、公開、多邊的協同合作,這將迫使越過紅線的國家承擔攻擊責任,並阻止他們重複不當行為,以攜手邁向一個更安全的未來。