Kimlik ve Erişim Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) Yönetimi
İnceleme Kurulu Eleştirisinden Sonra Microsoft Kültür, Yönetim ve Mühendisliği Hedef Alıyor
Michael Novinson (MichaelNovinson) •
23 Eylül 2024
Microsoft, siber güvenlik tehditlerinin artan karmaşıklığını ele almak için son aylarda önemli kültür, yönetişim ve mühendislik değişiklikleri uyguladığını söyledi.
Ayrıca bakınız: İşletmenizin Başarısını Artırmak İçin Varsayılan Olarak Güvenli Bir Strateji
Güvenlik girişimi – Seattle bölgesindeki yazılım ve bulut bilişim devinin tarihindeki en büyük siber güvenlik mühendislik projesi – federal olarak görevlendirilen Siber Güvenlik İnceleme Kurulu’nun Microsoft’un “kurumsal güvenlik yatırımlarını önceliksizleştiren kurumsal kültürünü” önlenebilir güvenlik ihlallerine izin vermekle suçlamasının ardından geldi. Buna karşılık Microsoft, şirketin operasyonlarına güvenliği yerleştirmek için 34.000 mühendis tahsis etti (bkz: Rapor, Microsoft’u Çin’deki Saldırıda Yaptığı Güvenlik Hatalarından Dolayı Eleştiriyor).
Microsoft’un mühendislik ekipleri son aylarda daha çok güvenliğe öncelik veren bir zihniyete doğru kayıyor, Microsoft’ta kimlik ve ağ erişim başkanı Joy Chik’e göre CEO Satya Nadella ve diğer üst düzey yöneticilerle haftalık mühendislik güncellemeleri şeffaflık ve hesap verebilirliği garantiliyor. Eski altyapıyı kullanan müşterileri etkileyecek eski güvensiz ayarları kullanımdan kaldırma konusunda zorlukların devam ettiğini söyledi.
“Satya çok net: Güvenlik en önemli önceliktir, kalite en önemli önceliktir ve ardından tüm müşteri ürün özelliği ihtiyaçlarıyla denge,” dedi Chik Information Security Media Group’a. “Öncelikle ilgili bu net mesaj gerçekten önemli.”
Microsoft Güvenliğe Farklı Bir Şekilde Nasıl Yaklaşmayı Planlıyor
Microsoft, siber saldırılara karşı koruma sağlamak için standartlaştırılmış günlük kaydı, ağ izolasyonu ve gelişmiş kimlik doğrulama prosedürlerini benimsediğini söyledi. Şirket ayrıca güvenliği çalışan performans değerlendirmesi ve tazminat yapılarına entegre etti – üst düzey liderlik dahil – ve Microsoft’un güvenlik işlevleriyle uyumlu bir siber güvenlik yönetim konseyi ve yardımcı CISO’lar tanıttı (bkz: Microsoft, Büyük İhlallerin Ardından Güvenlik Uygulamalarını Yeniliyor).
Chik, ürüne özgü yardımcı CISO’ların merkezi CISO işleviyle işbirliği yaparken belirli ürün hatları için güvenlik denetimi sağladığını söyledi. Chik’e göre bu yapı, Microsoft’un ekosistemi genelinde riskin bütünsel bir görünümüyle derinlemesine ürün bilgisini harmanlıyor ve hem güvenlik çabalarını değerlendirmek ve önceliklendirmek hem de bunların iş ihtiyaçlarıyla uyumlu olmasını sağlamak için hayati önem taşıyor.
Chik, “Konsolun tamamının bir araya getirilmesi, söz konusu kurumun riske dair bütünsel bir görüşe sahip olmasını sağlamanın yanı sıra, doğru güvenlik duruşunun ne olması gerektiğine öncelik verilmesine yardımcı oluyor ve daha sonra mühendislik tarafıyla el ele çalışarak riski kolektif olarak kullanıp ardından işe öncelik verebiliyoruz” dedi.
Chik, Microsoft’un güvenlik felsefesinin temel taşlarından birinin, bir ihlalin kaçınılmaz olduğunu varsayan sıfır güven modeli olduğunu söyledi. Şirket bu nedenle erken tespit, hızlı yanıt ve sistemler içindeki yanal hareketi sınırlamaya odaklandı. Microsoft, ekosistem iş birliğinin önemini vurguladı ve Chik, endüstri oyuncularının tehdit sinyallerini paylaşmaları ve saldırganlarla mücadele etmek için birlikte çalışmaları çağrısında bulundu.
Chik, “Sıfır güven ilkesini kullanırsak, her zaman ihlali varsayarız, dolayısıyla tespit ve izleme de eşit derecede önemlidir,” dedi ve ekledi, “Ayrıca, ‘Bir şey olduğunda, nasıl hızlı bir şekilde düzeltiriz ve yanıt veririz?'”
Chik’e göre Microsoft’un güvenlik çabaları yalnızca kendi ortamını korumayı değil aynı zamanda müşterilerle en iyi uygulamaları ve araçları paylaşmayı da amaçlıyor. Yapay zekanın bu çabalarda önemli bir rol oynadığını, Microsoft’un tehdit algılama ve yanıt sürelerini iyileştirmesine ve hem şirketin hem de müşterilerinin giderek daha karmaşık tehditlerin önünde kalmasına yardımcı olduğunu söyledi.
Chik, “Sahip olduğumuz tüm tehdit sinyalleriyle sürekli olarak AI’ya yatırım yapıyoruz,” dedi. “AI’yı tehdit avlamamıza ve tehdit ortamına ilişkin daha fazla içgörü elde etmemize yardımcı olması için nasıl kullanabiliriz?”
Microsoft son yıllarda tehdit aktörleri için sık sık hedef haline geldi. Rus bilgisayar korsanları, ilk olarak Ocak ayında açıklanan bir ihlalde kaynak kodu depolarını ve dahili sistemlerini tehlikeye attı ve Storm-0558 olarak bilinen Çin merkezli bir tehdit aktörü, Temmuz 2023’te Microsoft Outlook sistemlerine erişim sağlayarak 25 kuruluştan e-posta çaldı (bkz: Microsoft’un Son Saldırısı Büyük Güvenlik Endişelerine Yol Açtı).
Microsoft Güvenlik Mühendisliğini Nasıl Geliştirmeyi Planlıyor
Mühendislik açısından Microsoft, kimlik koruması, kiracı izolasyonu, ağ güvenliği ve yazılım mühendisliği sistemleri konusunda önemli teknik iyileştirmeler yaptı ve platform mühendisliğiyle güvenlik iyileştirmelerini ölçeklendirdi. Şirket, güvenlik olayları sırasında, müşteri eylemi gerekmediğinde bile, güvenlik açıklarına yanıt sürelerini ve iletişimi iyileştirdiğini söyledi.
Microsoft, ilerleme raporunda “Güvenlik olaylarına yönelik genel mesajlaşmayı ve müşteri katılımını iyileştirmek için Müşteri Güvenlik Yönetimi Ofisi’ni kurduk” dedi. “Bu yeni ofis, şirket genelindeki ekiplerle ortaklık içinde çalışarak genel mesajlaşmamızın ve müşteri katılımımızın güvenlik hedeflerimizle uyumlu olmasını sağlayacak.”
Microsoft, önceden oluşturulmuş şablonların ve araçların güvenlik en iyi uygulamalarının uygulanmasını kolaylaştırdığını, güvenlik uyumluluğunu basitleştirirken geliştirici hızını ve memnuniyetini de koruduğunu söyledi. Şirket ayrıca, üretim yapılarında tutarlılık ve verimlilik için merkezi olarak yönetilen boru hattı şablonlarının kullanımını otomatikleştirdi ve mühendislik sistemlerini ve tedarik zincirini korumak için ayrıcalıklı rollere erişimi kesti.
“Ticari bulut için üretim yapı hatlarımızın yüzde seksen beşi artık merkezi olarak yönetilen hat şablonlarını kullanıyor ve bu da dağıtımları daha tutarlı, verimli ve güvenilir hale getiriyor,” dedi Microsoft ilerleme raporunda. “Ayrıca yazılım geliştirme kod akışımızdaki kritik darboğazlar için varlık kanıtı kontrolleri uyguladık.”
Kimlikleri koruma çabaları arasında, Microsoft’un saldırı yüzeyini azaltmak için kullanılmayan uygulamaların ve etkin olmayan kiracıların ortadan kaldırılmasıyla birleştirildiğini söylediği çalışanlar için donanım güvenlik modülleri ve video tabanlı kullanıcı doğrulaması yer alıyor. Erişim belirteci imzalama anahtarlarının otomatik rotasyonu, saldırganların kimlik bilgisi yanlış yönetimini ve standart dışı protokolleri kullanarak sistemlere erişmesini engellemeye yardımcı olacak.
Microsoft, ilerleme raporunda, “Üretim ortamlarımızda kimlik avına dayanıklı kimlik bilgilerinin kullanımının zorunlu hale getirilmesini tamamladık ve kurulum/kurtarma sırasında parola paylaşımını ortadan kaldırmak için üretkenlik ortamlarımızda Microsoft dahili kullanıcılarının %95’i için video tabanlı kullanıcı doğrulaması uyguladık” dedi.
Microsoft, kiracı oluşturma konusunda sıkı bir yönetim uygularken 730.000 kullanılmayan uygulamayı ve 5,75 milyon etkin olmayan kiracıyı ortadan kaldırarak saldırı yüzeyini azalttığını söyledi. Microsoft, kiracı ve sistem izolasyonunu sağlayarak, ihlaller durumunda yanal hareketi önlediğini ve saldırganlar için olası giriş noktalarını en aza indirdiğini söyledi.
Microsoft’a göre, ağ cihazlarının %99’unun standart güvenlik günlükleri yayımlamasının sağlanmasıyla tehditlerin izlenmesi ve tespiti geliştirildi. Şirket ayrıca trafiği yönetmek ve yanal hareketten kaynaklanan riskleri en aza indirmek için hizmet etiketleri ve ağ güvenlik çevreleri uyguladığını söyledi.
Microsoft, ilerleme raporunda “Üretim ağındaki fiziksel varlıkların %99’undan fazlası, varlık envanterini sahiplik ve donanım yazılımı uyumluluk takibiyle zenginleştiren merkezi bir envanter sisteminde kayıtlıdır” dedi. “Arka uç bağlantısı olan sanal ağlar, Microsoft kurumsal ağından izole edilir ve yanal hareketi azaltmak için tam güvenlik incelemelerine tabi tutulur.”
Son olarak Microsoft, yönetişim iyileştirmeleri ve kıdemli liderlik ekibi ve yönetim kuruluna yönelik sık güncellemeler yoluyla şeffaflık ve uyumluluk çabalarını güçlendirdiğini söyledi. Şirkete göre, güvenlik kayıtlarını iki yıl boyunca saklamak ve müşteriler için güvenlik kayıtlarını genişletmek gibi yeni araçlar ve süreçler şeffaflığa yardımcı oluyor.
Microsoft, ilerleme raporunda “Microsoft 365 denetim günlüklerini tüm müşteriler için kullanılabilir hale getirdik ve önceki E5 lisans gereksinimini ortadan kaldırdık” dedi. “Ek olarak, Microsoft Purview aracılığıyla daha fazla M365 denetim günlüğü etkinleştirdik. Ayrıca, M365 denetim günlükleri için varsayılan ücretsiz saklama süresi 90 günden 180 güne uzatıldı.”