Microsoft, geçtiğimiz yıl içerisinde ağına yapılan birkaç büyük saldırının ardından güvenliği artırmak için tasarlanan kapsamlı Güvenli Gelecek Girişimi (SFI) kapsamında bulut ortamındaki kullanılmayan yaklaşık 730.000 uygulamayı ve 5,75 milyon etkin olmayan kiracıyı ortadan kaldırdı.
Şirket ayrıca son üç ayda yazılım üretim ekipleri için 15.000 yeni, kilitli cihaz konuşlandırdı ve üretim personelinin %95’i için video tabanlı kimlik doğrulaması uyguladı. Ayrıca Microsoft, kamu ve hükümet bulutları için erişim belirteci imzalama anahtarlarını oluşturma, depolama ve döndürme için Entra Kimliği ve Microsoft Hesabı (MSA) süreçlerini güncelledi.
Güvenli Gelecek Girişimi
Değişiklikler, Microsoft’un saldırı yüzeyini azaltma, bulut kimliği ve kimlik doğrulama mekanizmalarını güçlendirme ve tehditleri tespit edip bunlara yanıt verme yeteneğini artırma yönündeki daha kapsamlı çabalarının bir parçasıdır.Girişim başladığından beriMicrosoft Güvenlik’in başkan yardımcısı Charlie Bell, “SFI’ye 34.000 tam zamanlı mühendis adadık. Bu, tarihin en büyük siber güvenlik mühendisliği çalışması oldu” dedi. bu hafta güncelleme.
Microsoft, Çin’in Storm-0558’inin şirketin Exchange Online altyapısını ihlal edip 1000’den fazla ülkedeki e-posta hesaplarına erişmesinden birkaç ay sonra Kasım 2023’te SFI’yi piyasaya sürdü. iki düzine devlet kurumuEtkilenenler arasında ABD’nin Çin ile ilişkileri üzerinde çalışan üst düzey yetkililer de vardı. Microsoft’un ancak Ocak 2024’te keşfedip bildirdiği geçen yılki ikinci olayda, Rusya’nın Geceyarısı Kar Fırtınası Şirketin kurumsal e-posta hesaplarına düşük teknolojili bir parola püskürtme saldırısıyla erişildi.
ABD İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu (CSRB) bir gerçek bulma analizi Fırtına-0558 olayının ve saldırının “bir” kaynaklandığı sonucuna varıldı.güvenlik arızalarının ardışık dizisi Microsoft’ta stratejik ve kültürel düzeyde. Yönetim kurulu, Microsoft’a birkaç öneride bulundu bulut güvenliğini güçlendirmek, özellikle kimlik ve kimlik doğrulama konusunda.
Microsoft, SFI ile ilgili olarak iyileştirme yapılabilecek altı alan belirledi: kimlik ve sırlar; bulut kiracıları ve üretim sistemleri etrafındaki güvenlik; mühendislik sistemleri için korumalar; ağ güvenliği; tehdit algılama ve izleme; ve olay yanıtlama ve iyileştirme.
Microsoft’ta Kapsamlı Güvenlik Değişiklikleri
Bell’in bu haftaki raporu, şirketin bu alanların her birinde kaydettiği ilerlemeye ilişkin bir güncelleme sağladı. Örneğin, Entra ID ve Microsoft Account’taki güncellemeler, uzaktan kimlik doğrulama için kritik imzalama anahtarlarını kötüye kullanımdan daha iyi koruma çabasının bir parçasıdır. Storm-0558 aktörleri, tek bir hatalı imzalama anahtarından ve Microsoft’un kimlik doğrulama sistemindeki bir güvenlik açığından yararlanarak kendilerine dünyadaki herhangi bir Exchange Online hesabına erişim yetkisi verdi.
Benzer şekilde, yüz binlerce kullanılmayan uygulamanın ve milyonlarca etkin olmayan kiracının ortadan kaldırılması, bulut kiracılarına ve üretim sistemlerine yönelik olası saldırıların yüzey alanını azaltma çabasının bir parçasıdır.
Ağ güvenliği cephesinde Microsoft görünürlüğü iyileştirmek için mekanizmalar uyguladı: Şirket artık üretim ağındaki fiziksel varlıkların %99’undan fazlası için merkezi bir envanter tutuyor. Microsoft’tan Bell, “Arka uç bağlantısı olan sanal ağlar Microsoft kurumsal ağından izole edilmiş ve yanal hareketi azaltmak için tam güvenlik incelemelerine tabi tutuluyor” diye yazdı.
Mühendislik sistemlerini korumak için Microsoft, ticari bulut için üretim yapılarının %85’i için merkezi olarak yönetilen boru hattı şablonlarını kullanmaya başladı, kişisel erişim belirteçlerinin ömrünü yedi güne düşürdü ve dahili Microsoft mühendislik depolarına Güvenli Kabuk Erişimini devre dışı bıraktı. Varlık kanıtı kontrolleri artık Microsoft’un yazılım geliştirme süreci boyunca kritik noktalar için zorunludur.
Yönetici Düzeyinde Hesap Verebilirlik
Bu, Microsoft’un SFI ile ilgili kaydettiği ilerlemeye ilişkin sağladığı ikinci güncellemedir. bir önceki mayıs ayında Microsoft’un kurumsal düzeyde yaptığı değişikliklere odaklanıldı; bu değişiklikler arasında, yöneticilerin doğrudan güvenlikten sorumlu tutulması da yer alıyor.
Şirketin organizasyonel düzeyde yaptığı değişiklikler arasında, üst düzey yöneticilere yönelik tazminatların belirli güvenlik hedeflerine ve kilometre taşlarına bağlanması, tehdit istihbarat ekibinin kurumsal CISO ofisine daha sıkı bağlanması ve mühendislik ve güvenlik ekiplerinin birlikte çalışmasının zorunlu kılınması yer alıyor.