守护未来:微软安全未来倡议 2026 年 7 月进展报告

守护未来:微软安全未来倡议 2026 年 7 月进展报告

导语:这是微软于 2026 年 7 月发布的"安全未来倡议"(SFI)阶段进展报告。报告将工作归纳为三大成果导向主题:安全基础、主动防御和面向未来的安全,并通过身份治理、默认安全工程、AI 驱动的漏洞发现以及后量子密码学迁移等具体实践,展示了 SFI 在组织、治理与工程层面的落地进展。

安全工作永无止境。这一信念正是两年前"安全未来倡议"(Secure Future Initiative,SFI)启动的初衷,并持续指引着我们的方向。人工智能正在重塑网络安全格局。网络攻击者能够比人工方式更快地发现漏洞、串联攻击路径并扩大利用规模。防御者同样可以利用这些先进技术来识别风险、加强防护并加速响应。随着威胁态势的不断演变,安全也必须随之演进。

本期 SFI 进展报告展示了微软如何应对这一现实:在 AI 加速的网络威胁环境中夯实安全基础,大规模应用 AI 以提升安全成效,并为可扩展的量子计算等未来挑战做好准备。

本报告将我们的进展归纳为三大成果导向主题——安全基础、主动防御和面向未来的安全——并分享了在文化、治理、原则与工程支柱方面的经验教训、实用指引和更深入的洞察,这些支柱共同支撑着微软的安全能力。

原文配图

最具灾难性的安全故障很少源于单一控制的缺失,而是来自身份缺口、无人管理的资产和不一致的配置并存的环境,使有决心的威胁行为者可以将它们串联成复合攻击路径。SFI 以系统化的方式加以应对,全面加强整个环境的安全防护。报告成果量化了这些方面的进展。

这些控制措施形成了相互强化的层级:身份为访问治理提供输入,访问治理为微分段提供依据,微分段限制爆炸半径,而工程默认值则从源头减少进入生产环境的内容。我们学到的经验之一是:基础只有在持续验证、而非周期性审计的前提下,才能保持稳固。

安全基础缩小了攻击面。主动防御则在此基础上快速发现并修复薄弱环节。代码审查和渗透测试等传统做法仍然不可或缺。不同之处在于,前沿 AI 能够比人工审查更快地发现漏洞并串联利用路径。这既是威胁,运用得当也是优势。我们充分利用这一优势,更早地识别真实风险,并在攻击者动手之前将其消除。

原文配图

一些风险虽尚未完全显现,但消极等待并非良策。最紧迫的例子便是向后量子密码学的迁移。威胁已经以"先收割,后解密"(harvest now, decrypt later)的形式出现:今天加密的数据可能在量子能力成熟后被截获并解密。

这类基础性进展之所以能够实现,离不开每一位为之付出努力的员工。安全是微软每一位员工的核心职责:超过 99% 的全职员工完成了强制性"信任准则"(Trust Code)培训。治理让这一切得以规模化推进,借助副首席信息安全官(CISO)结构和集中式风险登记册来落实问责制。我们的原则——设计安全、默认安全、运营安全——则将意图转化为产品,例如 Microsoft 365 Baseline Security Mode。仅有工具并不能带来持久的安全;文化、问责制和安全的默认设置才是关键。

在整份报告中,我们为处于不同安全阶段的组织提供了切实可行的指引。以下给出几个切入点可供立即着手。

原文配图

阅读完整的 [SFI 报告](https://www.microsoft.com/en-us/security/blog/2026/07/10/securing-our-future-july-2026-progress-report-on-microsofts-secure-future-initiative/),其中包含详细的支柱级进展以及面向客户的更多指导。

每一项加固措施都会改变攻击者的行为方式。SFI 的复合效应在于:攻击者面对的可利用路径不断收窄,而防御者则获得更佳的遥测、更强的默认配置以及对剩余路径更清晰的优先级排序。

安全是一场团队作战。我们感谢客户、安全研究人员以及整个行业的通力合作,携手为所有人构建一个更安全的世界。


来源信息

来源:Microsoft Security Blog

原文链接:https://www.microsoft.com/en-us/security/blog/2026/07/10/securing-our-future-july-2026-progress-report-on-microsofts-secure-future-initiative/

作者:Salim Chawro