微软强调董事会网络安全意识成为企业首要任务

鉴于近期一系列高调的网络攻击事件，如导致捷豹路虎停产并需要政府救助的攻击事件，微软在2025年数字安全报告中敦促IT部门确保网络风险在董事会层面得到管理。

网络安全应视为业务风险

微软建议IT领导者将网络安全视为与财务或法律挑战同等级别的业务风险。报告中指出：“企业董事会和CEO必须了解组织的安全弱点。”

该公司敦促IT领导者跟踪并报告多因素认证覆盖率、补丁延迟、事件数量和事件响应时间等指标，以全面了解组织的潜在漏洞及其在网络安全事件发生时的准备情况。

关键安全建议

其他建议包括：

• 对所有账户（包括管理账户）实施防网络钓鱼的多因素认证
• 审计授予可信合作伙伴的边界访问权限

微软报告称，过去一年持续观察到攻击者不断加强新技术开发，以挑战组织实施的检测和防御措施。报告指出，组织面临的日常威胁基本保持不变，攻击往往是机会主义的，威胁行为者针对已知的安全漏洞进行攻击。

“虽然全球用户都面临风险，但我们观察到过去六个月大多数攻击集中在美国、英国、以色列和德国，”微软表示。

高风险行业分析

报告发现，政府和公共部门遭受的网络攻击最多。微软警告称，许多地方政府运行在难以修补和保护的传统系统上，预算限制和小型IT团队通常意味着更新延迟、威胁监控最小化和事件响应能力有限，这使它们成为国家行为者和经济动机网络犯罪分子的高价值目标。

主要攻击向量

微软研究发现，黑客的主要攻击向量包括：

• 面向外网的边界资产（18%）
• 外部远程服务（12%）
• 供应链（3%）

然而，微软表示持续观察到威胁行为者针对以下可信关系进行攻击：

• 上游托管服务提供商
• 远程访问服务（如VPN或VPS系统）
• 远程监控和管理工具
• 云备份
• 持续集成和持续交付管道
• 第三方部署软件提供商

安全防护建议

微软警告称，这些入侵通常会：

• 破坏特权供应商账户
• 利用未修补软件
• 在合法组件中插入恶意代码

报告作者建议组织：

• 审计访问权限
• 验证软件物料清单
• 维护依赖项卫生
• 执行运行时完整性检查

高层观点

微软客户安全与信任企业副总裁Amy Hogan-Burney在讨论研究结果的博客文章中指出：“组织领导者必须将网络安全视为核心战略优先事项——而不仅仅是IT问题——并将韧性从基础开始构建到技术和运营中。”

她还警告称，人工智能的使用正在加速恶意软件开发，并创建更真实的合成内容，提高了网络钓鱼和勒索软件攻击等活动的效率。“机会主义恶意行为者现在针对所有人——无论规模大小——使网络犯罪成为普遍、无处不在的威胁，并渗透到我们的日常生活中，”Hogan-Burney表示。