微軟發起「安全未來倡議」以AI打造網路安全新世界

AI 浪潮不僅加速了創新以及重塑社會的互動和運作方式，也讓網路犯罪和國家型攻擊者運用最新的科技發動精密及複雜的攻擊行動，造成社區與國家安全上的威脅。微軟宣布發起安全未來倡議（Microsoft Secure Future Initiative），這是一項由微軟總裁 Brad Smith 發起，以因應日益嚴峻的網路威脅環境，並保護客戶數位安全的全球性計畫。

其中涵蓋三大面向：1. 利用 AI 強化網路防禦能力；2. 全面提升軟體工程品質和安全性；3. 推動國際制定更有效的網路規範，保障民眾免受網路威脅。期許透過全球政府、民間企業、社會大眾的緊密合作，共同建構一個更安全的未來。

國家級網路攻擊鎖定基礎設施  醫院、學校和地方政府成主要目標

國家級攻擊行為者持續在進行著間諜、破壞性攻擊和影響力行動等；微軟估計過去兩年中，有40%的國家級攻擊皆為針對關鍵基礎設施進行，入侵重要系統如電力網路、供水系統和醫療設施等。此外，雖加強網路資訊安全保護提高了網路犯罪份子入侵的障礙，但也讓規模較小、而危害性更強的攻擊者轉而鎖定特定市場發動攻擊。

微軟的數位犯罪防治部門正在追蹤123個精密勒索軟體服務聯盟，它們進行鎖定或竊取數據，並要求支付贖金；自 2022 年9月以來，微軟統計勒索軟體攻擊嘗試已增加了200%以上，而這些攻擊變得更加頻繁和複雜，且針對規模更小、更脆弱的組織，包括醫院、學校和地方政府等。

微軟全球助理法務長及台灣微軟公共暨法律事務部總經理施立成表示：「微軟提出資安未來倡議主要是因應網路攻擊的速度、規模和複雜度的持續增加，當今網路攻擊者正使用著最先進的工具和技術，為社會大眾帶來嚴重風險；近年台灣遭受網路攻擊的數字也不斷攀升，微軟致力導入最新A I技術加強資安防護，同時期盼建立一個跨越國界、產業、民間企業與公家機構的強大合作夥伴關係，進而提升所有組織與人員的資安防禦力。」

微軟安全未來倡議首以AI強化網路防禦能力

烏克蘭戰爭已證實運用AI能夠防禦新的網路威脅；微軟承諾建立一個AI網路盾牌，並運用全球性的AI資料中心網路和使用先進的AI模型，保護全球的客戶和國家，同時加速推進以下三項任務：

1. 利用 AI 賦能微軟的威脅情報蒐集：微軟威脅情報中心（MTIC）和微軟威脅分析中心（MTAC）正在使用先進的AI工具和技術來偵測和分析網路威脅，並將這些能力提供給客戶。當攻擊者試圖將他們的威脅隱藏在眾多的資料堆裡時，便可透過AI查找出威脅，同時結合全球性的資料中心網路，加快發現攻擊的速度。
2. 利用AI為所有組織展開高效防禦力：資安專業人員全球人才缺口已超過300萬人，加上攻擊的速度、規模和複雜度不斷攀升，使得組織難以防止和阻斷攻擊。Microsoft Security Copilot 是一個結合大型語言模型和安全特定模型的AI工具，它可從數據中生成自然語言的洞察和建議，幫助分析師有效獵捕威脅，並以高效預防和阻斷攻擊。當今已有超過80%的勒索軟體入侵源自未管理、或是員工自行攜帶的裝置，Microsoft Defender for Endpoint 便可提供即時保護，打敗對端點的攻擊。
3. 確保微軟服務符合「負責任AI」原則：因應 AI 技術的演進，微軟與時俱進並根據負責任AI原則開發和部署所有AI相關服務。

微軟全面提升軟體工程品質和安全性

微軟啟動一項新的標準，透過改變設計、建構、測試和運營微軟技術的方式，以全面提高其安全性，其中包括三項關鍵步驟：

1. 透過自動化和AI改變軟體開發的方式：因應網路安全威脅和生成式 AI 的發展，推出「動態安全開發生命週期」（dSDL），這是一套系統化的流程，讓工程師在開發、測試、部署和運營微軟的系統和服務時，能夠持續防範新的攻擊模式。dSDL 還結合了其他的工程措施，例如使用AI的安全程式碼分析和GitHub Copilot來審核和測試原始程式碼。微軟也預計在未來一年內，為客戶提供更安全的多因素驗證（MFA）預設值設定，擴大其適用範圍，並針對客戶最需要保護的地方加強安全性。
2. 加強身份識別保護以防止高度精密的攻擊：密碼攻擊在過去一年中增加了10倍，國家和網路犯罪份子開發了更精密的技術來竊取和使用登錄憑證。微軟將以最新的身份保護技術，統一管理和驗證所有微軟產品和平台上的使用者、裝置和服務的身份和存取權限，並免費開放給非微軟應用程式開發者。微軟還將採用新的金鑰管理系統，奠基於微軟的機密運算架構和硬體安全模組（HSM），HSM 將金鑰儲存在硬體中，並對數據進行全方位加密。採取完全自動化且高安全性，即使底層流程被破壞，金鑰也無法被存取。
3. 推動微軟雲端平台的漏洞回應和安全更新：微軟計劃將修復雲端漏洞所需的時間減少50%，並鼓勵在整個科技業界以更透明、更一致的方式進行資安漏洞通報。

微軟呼籲各國推動制定更有效的網路規範以避免民眾受攻擊

在2017年微軟即呼籲建立「數位日內瓦公約」(Digital Geneva Convention)，以規範國家和非國家行動者在網路世界中的行為，保護大眾免受日益擴大的網路威脅。如今在網路世界所需的是一個更強大、更廣泛的國際社會公開承諾，以共同對抗針對基礎設施的網路攻擊行動，需要政府、民間機構以及社會大眾共同團結，並從以下兩方面以推動國際公約：

1. 廣泛、公開的支持和強化制定政府不應越過的紅線規範：雲端服務已遍及在社會重要的支柱中，包括供水、食物、能源、醫療、資訊系統等，因此各國應將雲端服務視為關鍵基礎設施，並受到國際法的保護。各國應承諾： (1) 不應從事或允許任何在其領土或管轄範圍內的人從事危害雲端服務的安全、誠信或機密性的網路行動；(2) 不應為了間諜活動而任意破壞雲端服務安全；(3) 各國所發動的網路行動應設法避免對非攻擊目標對象產生傷害。
2. 政府之間應加強合作，促使違反規範的國家承擔更大的責任：各國政府之間應展開強而有力、公開、多邊的協同合作，這將迫使越過紅線的國家承擔攻擊責任，並阻止他們重複不當行為，以攜手邁向一個更安全的未來。更多相關資訊請參考微軟官方部落格。

史塔夫短評：邪不勝正！用AI守護網路安全