注:本文编译自微软客户安全管理办公室企业副总裁,副首席信息安全官~Ann Johnson最新发表的文章,请以英文原文为准。

在微软,构建持久的网络安全文化不仅仅是一战略重点,更是一项全员行动号召安全始于人,也终结于人,这就是为什么每一名员工在保护微软及微软客户方面都发挥着关键作用。当最佳安全实践融入员工日常的思考、工作与协作方式时,个体行动就会凝聚成一道统一的、积极的、更具弹性的防御屏障。

过去一年间,微软通过“安全未来倡议(SFI)”取得了重大进展,将安全理念嵌入到工程实践的每一个环节。同样关键的是,微软在员工安全教育和吸引员工参与安全方面的转型。微软全面升级了员工安全培训计划,以应对人工智能攻击和深度伪造欺诈等高级网络威胁。微软启动了微软安全学院(Microsoft Security Academy),通过个性化学习途径赋能员工打造契合实际需求的学习体验。微软已经将安全文化确立为全公司范围的当务之急,加强警惕性,将安全习惯融入日常工作中,实现仅靠技术本身无法实现的目标。这不仅仅是一种思维模式的转变,更是一场全公司范围自上而下的运动,为行业树立了新的标杆。

为了帮助其他组织采取类似的步骤,微软开发了两份全新指南(分别聚焦于身份保护,以及如何防御人工智能驱动的网络攻击),提供了可操作的见解和实用工具。这些资源旨在帮助组织重新审视安全策略,超越基础入门级内容,打造具有弹性、适应性和“以人为本”的安全文化。因为在网络安全领域,文化不仅仅是一种防御手段,更是决定组织是被动应对网络威胁还是主动出击的关键所在。

主动安全培训:赋能员工应对新时代的高级威胁

网络安全是每位微软员工的责任,微软已经采取了一系列深思熟虑的步骤,使这项安全责任具体化、可操作化。在过去的一年里,微软全力在公司各个部门—从工程和运营到客户支持—强化“安全第一”的理念,确保网络安全成为各级员工的共同责任。通过重新设计培训、个性化指导、定期反馈机制和设定针对特定岗位角色的期望等,微软正在培养一种安全意识既是本能又是义务的文化

随着网络攻击者使用人工智能、深度伪造技术和社会工程学手段变得日益狡猾,微软教育和赋能员工的方式也必须与时俱进。微软的安全培训团队已全面升级了年度学习计划,以紧跟威胁趋势的迫切性。微软的安全培训经过精心设计,旨在使培训更容易接受和更具包容性,其设计理念源于对所有工作岗位角色及员工所做工作的深刻理解。这有助于确保所有员工,无论背景或技术专长如何,都可以深度参与课程内容并将其有效应用于实践。由此形成的持久网络安全文化,不仅融入了员工的工作日常,更延伸至他们的个人生活中。

为了确保持久的安全文化植根于现实世界的网络威胁和战术,微软继续推进“安全基础(Security Foundations)”系列课程,以动态的、基于威胁的内容和真实的攻击场景为特色。同时还更新了传统主题培训内容,如网络钓鱼、身份欺骗和人工智能驱动的网络攻击等(如深度伪造)。所有全职员工和实习生每年必须完成三次培训课程(总计90分钟),且每年都会推出全新内容。

安全培训必须在工作场所和家庭生活中产生共鸣,才能产生持久的影响。正因如此,微软为员工配备了自我评估工具,提供个性化的、基于风险的身份保护反馈,以及量身定制的指导,以帮助他们在工作和个人生活中更好地守护自己的身份安全。

成功的安全培训计划包括哪些要素?

在微软,安全培训计划的成功取决于几个关键因素:基于风险的最新内容;与内部安全专家合作;以及对培训相关性和员工满意度的不懈关注。微软的安全培训并不是简单地重复旧有内容,而是每年根据不断变化的网络威胁态势,从头开始重建培训体系,而非仅仅满足合规要求。每个年度培训计划都是以风险为向导,依托覆盖威胁情报、事件响应、企业风险、安全风险等领域的内部安全专家组成的广泛倾听网络。 这些内部专家共同识别出保障微软安全的首要网络威胁,在这些威胁的演变过程中,员工的安全判断力与决策力发挥着关键作用。

以社会工程学攻击为例,这个主题一直包含在微软的安全培训中,因为约80%的安全事件始于网络钓鱼事件或身份信息泄露。但微软并非教授防范网络钓鱼的简单入门知识,因为微软预期其员工已经具备对此类网络威胁的基本认知。相反,微软深入探讨新兴的身份威胁,真实的网络攻击场景,以及网络攻击者如何变得越来越狡猾,且攻击规模和速度比以往任何时候更广更快的案例。

微软在网络安全文化建设中取得成效和影响并非偶然,也绝非个别案例。首席信息安全办公室(OCISO)下属的安全教育意识团队将行为科学、成人学习理论和以人为本的设计应用于每安全基础课程的开发。这确保了培训内容能引发共鸣、深入人心,并推动行为改变。微软还不断衡量学习满意度和内容相关性,这两项指标近年来都有显著上升。这一积极变化源于微软对课程内容的持续创新迭代,以及对员工学习需求和文化诉求的高度关注。

例如,安全基础培训系列一直是微软员工必修课中评分最高的课程之一。培训后调查结果清晰地表明:员工将自己视为维护微软安全的积极参与者。他们有信心识别威胁,知道如何上报和升级问题,并始终强调安全是跨角色、区域和团队的优先任务。

“这是我学过的最出色的安全基础课程之一,做得很棒!课程对深度伪造攻击的强调很有启发性且耳目一新,我认为深度伪造演示是一种很好的方式,既能展示合成声音的高度逼真性,又能实时呈现真实攻击的效果。自我评估环节同样极具价值,它清晰地指出了我需要加强改进的领域,并提醒我今后更加谨慎行事。”- 微软某员工评价

如今,微软员工对安全基础培训的参与度很高,99%的员工完成了每门课程的学习。学习满意度持续攀升,净满意度评分从2023财年的144分上升到目前的170分。内容相关性得分也呈现类似趋势,从2023财年的144分上升到169分。这些评分数据反映出微软员工认为安全培训内容具有时效性、实用性和可操作性。

微软领导层定下坚定的基调

微软的网络安全文化变革始于高层,首席执行官Satya Nadella发出正式指令要求将安全列为公司的首要任务。他对员工的指示很明确:网络安全和其他优先事项发生冲突时,安全必须始终优先考虑。首席人事官Kathleen Hogan在一份全公司备忘录中重申了这一承诺,她说:“微软的每位员工都将把安全作为核心优先事项(Core Priority)。当面临权衡取舍时,答案是明确而简单的:安全高于一切。”

微软的“安全核心优先事项”持续强化微软员工的安全培训。截至2024年12月,每位员工都有一个明确的安全核心优先级,并在与经理进行绩效考核时讨论其个人影响。Kathleen Hogan解释说,安全不是一次性的承诺,而是每位员工都必须共同承担的不可妥协的持续责任。“安全核心优先事项并不是一项走过场式的合规打钩检查活动;它是每位员工和经理承诺优先考虑安全因素并为此负责的一种方式,也是微软规范化记录员工的安全贡献、表彰个人对安全的积极影响的一种方式,”她表示。“微软所有人都必须秉持‘安全为先’的理念和行事准则,勇于发声,积极寻找机会,确保所做的一切都符合安全要求。”

这一承诺已经融入微软最高管理层的公司治理与运营体系中。在过去的一年里,微软高领导团队持续评估企业安全文化的现,并探索强化措施。每周高管会议都会审议安全绩效,深入剖析“安全未来倡议”六大支柱的落实情况。董事会会定期收到安全动态更新,强化了网络安全属于董事会级别关切事项的理念。微软还通过高管薪酬与安全绩效直接挂钩,进一步彰显了微软对安全的承诺,将安全提升到与业绩增长、技术创新和财务表现同等重要的地位。通过将高管薪酬作为与特定安全绩效指标挂钩的问责机制,微软推动了可量化的改进,特别是在代码仓库中的保密卫生习惯。

通过持续参与和人才培养安全文化

安全文化并非通过一次性培训就能建立起来的;而是需要持续参与和可见强化(visible reinforcement)才能维系。为确保安全始终处于首要位置,微软会定期开展安全意识宣传活动,重温核心安全概念,并在全公司范围内及时分享最新安全消息。这些活动覆盖微软SharePoint, Teams, Viva Engage等内部平台,以及遍布全球各地办公场所的数字标牌系统。通过强化关键行为的提醒,形成持续不断的宣传节奏,促进安全意识融入日常工作流程中。

全球安全大使计划(security ambassador program)将于2025年秋季启动,旨在构建一个覆盖不同组织和地域的基层网络,由各团队及部门内部值得信赖的安全倡导者组成。该计划目标实现至少5%的员工参与率,这些大使将作为本地的倡导者,助力扩大安全倡议的影响力,提供点对点的同辈指导,并收集来自一线的宝贵反馈。这种模式不仅能维持员工参与度,更能确保微软的安全策略充分吸纳了来自整个组织的真实洞察。随着网络攻击者的攻击手法日益精进,微软的员工必须持续学习并适应最新安全威胁变化。正因如此,安全防护是一场永无止境的征程,需要建立一种持续改进的安全文化,从事件中吸取经验教训以更新安全政策和标准,并通过员工反馈设计将来的安全培训和参与策略。

安全文化的强大程度取决于践行者的力量。这就是为什么微软在安全人才方面投入巨资,通过提升安全技能和招聘优秀安全人才来扩大防御能力。通过安全工程师队伍的壮大,微软确保每个团队、每款产品和每位客户都能从最新的安全理念和专业知识中受益

网络安全嵌入工程实践全流程

公司领导层设定了安全文化愿景,但真正的转变发生在将安全融入微软的工程体系中。微软正在超越简单地应用安全框架的阶段-重新构建大规模工程技术的设计、测试和运维。为推动这一转变,微软将工程实践与“安全未来倡议”提出的“保护工程系统”支柱保持一致,将安全能力嵌入到开发全流程,从身份保护到威胁检测无所不包。微软安全开发生命周期(SDL),曾经作为一个独立的方法论发布,如今已深度融入“安全未来倡议”的“安全设计”支柱中,确保从首行代码到最终部署的整个流程中都融入安全要素。

在新的治理模型和责任结构的支持下,微软在整个开发生命周期中嵌入了DevSecOps和安全左移策略。每个工程部门现在均设有一名副首席信息安全官(CISO),负责将安全嵌入到他们的工作流程中。这些实践能够降低成本,最大限度地减少中断,并最终打造出更具韧性的产品。

在“安全未来倡议”下,安全被视为产品创新、质量和信任的一个核心属性。在微软重新定义安全如何融入工程建设的同时,微软也在变革着安全实践方式。这意味着为每一位员工提供应对高级网络威胁所需的安全意识和敏捷能力。

网络安全文化是企业信任的问题

对微软而言,一个强大的安全文化有助于微软保护内部系统,维护客户与合作伙伴的信任。由于公司业务遍布全球,产品覆盖广泛,客户群几乎涵盖所有行业,即便是一次疏忽也可能会产生巨大影响,单一安全漏洞就足以引发广泛的连锁反应。将安全理念嵌入到公司的每个层面既复杂又至关重要,绝非仅靠尖端的安全工具或隔离策略就能实现。微软倡导“安全第一”的核心理念,将安全视为贯穿于每个岗位角色、决策过程和工作流程的基石,而不是一个独立的功能。虽然安全工具在解决技术性网络威胁问题时不可或缺,但唯有企业文化才能确保这些工具在组织中持续应用、不断优化并实现规模化部署。

为持久的网络安全文化铺就前

著名企业管理大师彼得•德鲁克(Peter Drucker)的名言“文化可以把战略当早餐一样吃掉”在网络安全领域尤其适用。无论安全战略设计得多么完善,若缺乏支持并维持它的文化土壤,终将难以成功。归根结底,微软主动安全策略的构建基于三个相互关联的要素:人员、流程和文化。尽管微软在这三个方面都取得了显著进展,但这项工作永无止境。网络安全形势瞬息万变,每一项新的挑战都蕴含着适应、改进和引领变革的机遇。

微软决定不将安全视为一门孤立的学科,而是将其视为一种基础价值—它影响着产品开发方式、领导评价标准以及全公司员工的日常工作表现—这是微软“安全未来倡议”的一个核心要义。这一举措已经带来了可衡量的改善,包括在工程部门设立副首席信息安全官职位,重新设计员工安全培训以反映人工智能驱动的安全威胁,并即将推行全球安全大使计划等深入基层项目。

“安全未来倡议”是微软致力于打造持久性网络安全文化的承诺,将安全理念融入到每个决策、每款产品和每个员工的思维方式中。微软诚邀各界伙伴携手同行,共同变革安全实践方式。因为在当前的网络威胁形势下,安全文化不仅仅是一种防御手段,它更能决定成败

原文链接:https://www.microsoft.com/en-us/security/blog/2025/10/13/building-a-lasting-security-culture-at-microsoft/

声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。