微软呼吁将网络安全风险提升至董事会治理层面

面对近期多起重大网络安全事件，如捷豹路虎遭受攻击导致生产中断并需要政府救助，微软在其2025年数字安全报告中敦促IT部门确保网络风险能够在董事会层面得到有效管理。

微软建议IT领导者将网络安全视为与财务或法律挑战同等重要的业务风险。报告指出："企业董事会和首席执行官了解其组织的安全薄弱环节至关重要。"

公司敦促IT领导者跟踪和报告多项关键指标，包括多因子认证覆盖率、补丁延迟时间、事件数量和事件响应时间，以全面了解组织的潜在漏洞和网络安全事件应急准备情况。

其他建议包括在所有账户（包括管理账户）上强制执行抗钓鱼多因子认证，以及审查授予可信合作伙伴的边界访问权限。

在过去一年中，微软报告称持续观察到攻击者加强开发新颖技术来挑战组织实施的检测和防范措施。报告指出，组织面临的日常威胁在很大程度上保持不变，攻击往往具有机会主义特征，威胁行为者专门针对已知的安全漏洞。

微软表示："虽然全球用户都面临风险，但我们观察到过去六个月的大多数攻击都集中在美国、英国、以色列和德国。"

报告发现，政府和公共部门遭受的网络攻击最多。微软警告说，许多地方政府运行在难以修补和保护的传统系统上，预算限制和小型IT团队往往意味着更新延迟、威胁监控最少以及事件响应能力有限。这使它们成为国家级行为者和经济驱动网络犯罪分子的高价值目标。

微软研究发现，黑客的主要攻击载体是面向Web的边界资产（18%）和外部远程服务（12%），以及较小程度的供应链（3%）。

尽管如此，微软表示继续观察到威胁行为者针对与上游托管服务提供商的可信关系、远程访问服务（如虚拟专用网络或虚拟专用服务器系统）、远程监控和管理工具、云备份、持续集成和持续交付管道，以及第三方部署软件提供商，通过可信或常用的IT系统获得访问权限。

微软警告说，这些入侵通常会泄露特权供应商账户、利用未修补的软件或将恶意代码插入合法组件。报告作者建议组织审计访问权限、验证软件物料清单、维护依赖关系卫生并执行运行时完整性检查。

在讨论这些发现的博客文章中，微软客户安全与信任企业副总裁艾米·霍根-伯尼表示："组织领导者必须将网络安全视为核心战略优先事项——而不仅仅是IT问题——并从根本上将弹性构建到他们的技术和运营中。"

她还警告说，人工智能的使用正在加速恶意软件开发并创造更逼真的合成内容，提高钓鱼和勒索软件攻击等活动的效率。霍根-伯尼说："机会主义恶意行为者现在针对所有人——无论大小——使网络犯罪成为一个普遍存在、无时不在的威胁，渗透到我们的日常生活中。"

Q&A

Q1：微软为什么建议将网络安全提升到董事会层面？

A：因为近期发生了多起重大网络安全事件，如捷豹路虎遭受攻击导致生产中断并需要政府救助。微软认为企业董事会和首席执行官了解其组织的安全薄弱环节至关重要，应将网络安全视为与财务或法律挑战同等重要的业务风险。

Q2：哪些行业和地区是网络攻击的主要目标？

A：政府和公共部门遭受的网络攻击最多，因为许多地方政府运行传统系统，预算限制和小型IT团队导致更新延迟、威胁监控不足。地区方面，过去六个月的攻击主要集中在美国、英国、以色列和德国。

Q3：人工智能对网络安全威胁有什么影响？

A：人工智能的使用正在加速恶意软件开发并创造更逼真的合成内容，提高钓鱼和勒索软件攻击等活动的效率。机会主义恶意行为者现在针对所有规模的组织，使网络犯罪成为普遍存在、无时不在的威胁。