【決心改革】Microsoft任命新CISO　望加快推動安全未來倡議

Microsoft 最近低調地完成替換首席信息安全官（CISO）的行動，安全主管 Charlie Bell 撤去原有的首席及副席信息安全官，起用加盟 Microsoft 僅四個月的 Igor Tsyganskiy，Charlie 指新任安全官將會協助公司完成在 11 月初公布的安全未來倡議（Secure Future Initiative），不過，外界就懷疑新的職位調動可能同近年 Microsoft 頻頻發生安全事故有關。

微軟上月公布安全未來倡議

如果大家有留意安全事故新聞，應該會記得在今年 6 月美國政府的 FCEB 機構發現到異常的電郵活動，Microsoft 在調查後發現這次入侵活動與中國 APT 黑客組織有關，受影響的包括美國國務院、商務部、國會工作人員、人權倡導者等。

官方指黑客利用從公司盜取的 MSA consumer signing key，偽造身份驗證 token 進入 Exchange Online 和 Outlook.com，取得對客戶電郵帳戶的訪問權限，事件引發美國參議員對 Microsoft 的強烈指責。可能為了回應各方對 Microsoft 的安全風險疑慮，官方在上月初宣布安全未來倡議，承諾加快推出雲端服務安全更新、更好地管理身份簽名密鑰，以及推出具有更高安全標準的軟件。

新 CISO 曾於全球最大對沖基金任職

不過，單是口號式的倡議未必可信，特別是 Charlie 在推動倡議時豪言會加快對舊有產品的安全更新周期，並將網絡安全放在首位，因此今次撤換 CISO 人手，有可能是為了顯示改革的決心。Charlie在自己的 LinkedIn 帳戶上指新任 CISO Tsyganskiy 是一個技術專家，累積了多年經驗及豐富知識，而且亦在大規模及高要求的工作環境中歷練多年。事實上，Tsyganskiy 曾在全球最大對沖基金 Bridgewater 的技術部門工作了七年，亦曾在 Salesforce 等公司出任管理層職位，論工作經驗自然非常稱職。

這次新人事調動，相信將會加快 Microsoft 的安全政策。根據 Charlie 早前的發言，公司非常關注現時網絡攻擊的速度、複雜程度和規模，而公司將會大力押注在人工智能技術上，以協助微軟解決未來的網絡安全問題，實現自動化處理安全，並採用 Rust 等先天在內存處理上有安全優勢的電腦語言上，進一步消除傳統軟件的安全漏洞。

另外，公司早前又宣布將會擴大安全日誌管理層面，讓採用較普通服務的中小企也能通過監察安全日誌及早發現可疑活動。至於實際成效如何，以及可否在短時間內提升公司及客戶的網絡安全水平，大家就要拭目以待。

資料來源：https://www.securityweek.com/microsoft-hires-new-ciso-in-major-security-shakeup/