Microsoft, yakın zamanda başlatılan Güvenli Gelecek Girişimi’ni (SFI) iki katına çıkarıyor ve ABD hükümetinin Siber Güvenlik İnceleme Kurulu’nun (CSRB) ardından tehdit aktörleri tarafından sıklıkla kullanılan yazılım ve güvenlik açığı sorunlarını ele almak üzere yola çıkan programı genişletiyor. ) geçen yılki Storm-0558 saldırısı ve Ocak 2024 Gece Yarısı Blizzard (Rahat Ayı) saldırısı hakkında rapor.
Redmond, tehdit ortamının hızlı gelişiminin, hem kendi operasyonlarının hem de müşterilerinin karşı karşıya olduğu tehditlerin ciddiyetinin altını çizdiğini söyledi ve dünyanın BT ekosistemindeki merkezi rolü göz önüne alındığında, yerine getirilmesi gereken “kritik bir sorumluluğa” sahip olduğunu kabul etti. ve güveni koruyun.
“Microsoft olarak güvenliği her şeyden önce, diğer tüm özelliklerin üzerinde birinci önceliğimiz haline getiriyoruz. Siber güvenlik yaklaşımımızın sağlam kalmasını ve gelişen tehdit ortamına uyarlanabilir kalmasını sağlamak için CSRB’nin son tavsiyelerini ve Midnight Blizzard’dan öğrendiklerimizi entegre ederek SFI’nin kapsamını genişletiyoruz” dedi. Microsoft Güvenliği.
“Microsoft genelinde genişletilmiş SFI sütunlarını ve hedeflerini harekete geçireceğiz ve bu, işe alım kararlarımızda bir boyut olacak. Ayrıca, şirketin Kıdemli Liderlik Ekibinin ücretinin bir kısmını güvenlik planlarımızı ve kilometre taşlarımızı karşılama konusundaki ilerlememize dayandırarak hesap verebilirliği aşılayacağız” dedi.
İlk olarak Kasım 2023’te Microsoft başkan yardımcısı ve başkan Brad Smith tarafından ana hatları çizilen SFI, üç temel dayanağı merkeze alıyor: Yapay zeka tabanlı siber savunmaların geliştirilmesi ve iyileştirilmesi, yazılım mühendisliği uygulamalarının iyileştirilmesi ve siber uzayda uluslararası normların daha güçlü uygulanmasının savunulması.
Bell, SFI genişlemesini açıklayan bir blog yazısında bu yaklaşımın artık üç yeni ilkenin yönlendireceği çalışmayla birlikte gelişeceğini açıkladı:
- Herhangi bir Microsoft ürününün veya hizmetinin tasarımında ve geliştirilmesinde öncelikli husus olarak tasarım gereği güvenlik;
- Varsayılan olarak güvenlik, korumaların varsayılan olarak etkinleştirildiği ve uygulandığı, kullanıcıların ekstra bir çaba gerektirmediği, ancak aynı şekilde kullanıcılar için devre dışı bırakmanın da olmadığı;
- Değişen tehditlerle doğrudan başa çıkmak için sürekli olarak iyileştirilen kontroller ve izlemeyle güvenli operasyonlar.
Buna ek olarak, Microsoft artık bir dizi genişletilmiş hedefi ve eylemi aşağıdaki gibi altı öncelikli sütuna göre hizalayacak:
- Sınıfının en iyisi, kuantum kullanımına hazır standartlar kullanılarak kimliklerin ve sırların korunması;
- Tüm Microsoft kiracılarının ve üretim sistemlerinin korunması ve izolasyonu;
- Microsoft üretim ağlarının korunması ve Microsoft ile müşteri kaynaklarının yalıtılması;
- Yazılım varlıklarını, kod güvenliğini ve yazılım tedarik zincirinin yönetişimini kapsayan mühendislik sistemlerinin korunması;
- Tehditlerin izlenmesi ve tespiti, Microsoft üretim altyapısına yönelik tehditlerin kapsamlı kapsamı ve otomatik tespiti sağlanması;
- Güvenlik açıklarına müdahale ve iyileştirmenin hızlandırılması, yüksek önemdeki hataların hafifletilmesi için gereken sürenin kısaltılması ve genel mesajlaşma ve şeffaflığın iyileştirilmesi.
“Bu hedefler, Midnight Blizzard olayından öğrendiklerimizin yanı sıra Microsoft’a verilen dört CSRB tavsiyesinin tamamıyla ve güvenlik kültürü, siber güvenlik en iyi uygulamaları, günlük kaydı normlarının denetimi, Bell, dijital kimlik standartları ve rehberliği ile şeffaflığın önemli olduğunu söyledi.
“Güvenliği bütünsel bir şekilde yönlendirmek ve geleneksel siloları ortadan kaldırmak için liderleri ve ekipleri altı SFI sütununa göre hizalayan yeni bir işletim modeliyle yeni bir koordinasyon düzeyi aracılığıyla bu hedeflere ulaşıyoruz” diye ekledi.
Microsoft şirket içinde ayrıca çalışanlarının kolektif olarak tepki verme biçimini iyileştirmek için adımlar atıyor, olaylardan öğrendiklerini operasyonel hale getirmeye yardımcı olacak yeni girişimler uyguluyor ve CISO’su Igor Tsyganskiy tarafından denetlenen ve mühendislik ekipleri ile bir şirket arasında bir ortaklık kuran yeni bir yönetişim çerçevesi kuruyor. CISO yardımcılarından oluşan yeni oluşturulan bir grup, Microsoft’un mevcut ulus devlet aktörü ve tehdit avcılığı yeteneklerinin tamamıyla desteklenecek.
Ayrıca, önce güvenlik kültürünü aşılamak için daha fazlasını yapmayı planlıyor ve güvenliğin ayrıntılı bir şekilde uygulanması ve sürekli iyileştirilmesi üzerinde çalışan tüm yönetim düzeylerini ve üst düzey katkıda bulunanları dahil etmek için geniş ölçekli haftalık ve aylık operasyonel toplantılar başlatacak.
“Sonuçta Microsoft güven üzerine çalışır ve bu güvenin kazanılması ve sürdürülmesi gerekir. Küresel bir yazılım, altyapı ve bulut hizmetleri sağlayıcısı olarak, dünyayı güvenli ve emniyetli tutmak için üzerimize düşeni yapma konusunda derin bir sorumluluk hissediyoruz. Sözümüz, siber güvenliğin gelişen ihtiyaçlarını sürekli olarak iyileştirmek ve bunlara uyum sağlamaktır. Bu bizim için bir numaralı iş” dedi Bell.
“Microsoft’un Güvenli Gelecek Girişimi’nde gerçekten iddialı hedefleri var. Çoğu kuruluş bu hedeflere ulaşmak için ne iradeye ne de teknik yeteneğe sahiptir, ancak bunu başarabilen herhangi bir kuruluş, çoğu izinsiz girişi engellemek için birinci sınıf bir konumda olacaktır,” dedi siber araştırma firması IANS Research’te öğretim üyesi ve eski bir bilgisayar korsanı olan Jake Williams. NSA için. “Microsoft’un kesinlikle bunları uygulayacak teknik yeteneği var, ancak durum her zaman böyle oldu. Görünen o ki artık bunu yapacak siyasi iradeye de sahipler.
“Microsoft’un yaptığı önemli teknik güvenlik geliştirmeleri hakkında pek çok ayrıntı var. Bunların çoğunun en zor kısmı %100’e ulaşmaktır. %100’ün altındaki herhangi bir şey, tehdit aktörlerinin yararlanabileceği artık bir saldırı yüzeyi bırakır. Bu çabalar, çabaların çoğunun yeni güvenlik rejimine son kalanların da dahil edilmesi için harcandığı eski 80/20 kuralını takip ediyor. Microsoft’un bu noktaya ulaşacağına dair bana en çok güven veren şey, mühendis Kıdemli Başkan Yardımcılarının tüm yönetim seviyeleri ve üst düzey IC’lerle düzenli operasyonel toplantılar yapmasının vurgulanmasıdır. Kültürel değişimi bu şekilde güçlendirirsiniz ve kalıcı olmasını sağlarsınız” dedi.