Yönetişim ve Risk Yönetimi, BT Risk Yönetimi
Şirket Yönetici Ücretlerini Güvenlik Aşamalarına Ulaşmayla Bağlantılandırmayı Planlıyor
Chris Riotta (@chrisriotta) •
6 Mayıs 2024
Microsoft, küresel şirketin siber duruşuyla ilgili endişelere yol açan son zamanlardaki bir dizi yüksek profilli ihlalin ardından güvenlik uygulamalarını elden geçiriyor ve temel federal önerileri uyguluyor.
Ayrıca bakınız: İsteğe Bağlı | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan’ın Güvenli Siber Gelecek Mantrası
Microsoft Security’den sorumlu başkan yardımcısı Charlie Bell, Cuma günü bir blog yazısında şirketin artan siber saldırılarla mücadele etmek, gizlilik korumalarını güçlendirmek ve Microsoft ağlarını güvenli hale getirmek için Güvenli Gelecek Girişimini genişleteceğini söyledi.
Bell, “Microsoft, dünyanın dijital ekosisteminde merkezi bir rol oynuyor ve bu, güveni kazanma ve sürdürme konusunda kritik bir sorumluluğu da beraberinde getiriyor” dedi. “Daha fazlasını yapmalıyız ve yapacağız.”
Microsoft, Kasım 2023’te yeni kimlik korumaları, yazılım geliştirme gereksinimleri ve güvenlik açığı tespiti ve müdahalesine yönelik daha hızlı bir yaklaşım sunarak Güvenli Gelecek Girişimi’ni başlattı.
Şirket o zamandan bu yana birden fazla bilgisayar korsanlığının hedefi oldu (bkz.: Microsoft’un Son Hack’i Büyük Güvenlik Kaygılarına Yol Açtı). Rus bilgisayar korsanları, ilk olarak Ocak ayında açıklanan bir ihlalle kaynak kodu depolarını ve dahili sistemlerini tehlikeye attı ve Storm-0558 olarak bilinen Çin merkezli bir tehdit aktörü, Temmuz ayında 25 kuruluşun e-postalarını çalarak Microsoft Outlook sistemlerine erişim sağladı.
Federal olarak görevlendirilen bir Siber Güvenlik İnceleme Kurulu, son saldırıların ardından Microsoft’un güvenlik uygulamalarına ilişkin yedi aylık bir inceleme gerçekleştirdi ve şirketin “kurumsal güvenlik yatırımlarına öncelik vermeyen kurumsal kültürünü” önlenebilir güvenlik ihlallerine izin vermekle suçladı.
Kurul, bulut hizmet sağlayıcılarının güvenlik olayları konusunda şeffaflığı artırmasını, dijital kimlik korumalarını geliştirmesini, denetim kayıt standartlarını benimsemesini ve mağdurları gelecekteki ihlaller konusunda bilgilendirmesini tavsiye etti.
DHS Politika Müsteşarı ve CSRB Başkanı Robert Silvers o dönemde yaptığı bir açıklamada, “Bulut hizmet sağlayıcılarının güvenliğe öncelik vermesi ve bunu tasarım yoluyla oluşturması zorunludur.” dedi.
Duyuruda, Microsoft’un, kimlik ve genel anahtar altyapı sistemlerinin “kuantum sonrası kriptografi dünyasına hazır olmasını” sağlamak için çalışırken, son güvenlik uzlaşmalarının ardından “kimlik imzalama anahtarları ve platform anahtarları için daha ayrıntılı bölümlemeyi benimseyeceği” belirtildi.
Blogda ayrıca Microsoft’un yönetici maaşlarını belirli güvenlik aşamalarına ulaşmadaki ilerlemeyle ilişkilendirmeye başlayacağı ve bu hedefleri işe alım kararlarının bir bileşeni olarak dahil edeceği belirtildi. Bell’e göre genişletilmiş girişim üç kapsamlı güvenlik ilkesine göre yönlendirilecek: tasarım gereği güvenli, varsayılan olarak güvenli ve güvenli operasyonlar.
Microsoft, genişletilmiş Güvenli Gelecek Girişiminin bir parçası olarak kiracılar, ortamlar ve bulut ağları arasındaki kimlik yanal hareketini tamamen ortadan kaldıracak. Şirket, ileriye dönük olarak tüm uygulamalarına ve kullanıcılarına sürekli olarak en az ayrıcalıklı erişimi uygulayacağını ve Microsoft kiracılarına yalnızca “güvenli, yönetilen, sağlıklı cihazlara” erişim izni verilebilmesini sağlayacağını söyledi.
Duyuruda ayrıca Microsoft’un, ürün ve hizmetlerini dağıtmak ve işletmek için kullanılan tüm yazılım varlıkları için yazılım malzeme listeleri oluşturacağı ve sürdüreceği belirtildi. Tüm güvenlik kayıtları en az iki yıl altı ay boyunca saklanacak ve “etkili ve etkili güvenlik soruşturması ve tehdit avına olanak sağlamak için” merkezi bir veri bankasından erişilebilecek.
Microsoft, genişletilmiş girişime ek olarak, baş bilgi güvenliği yetkilisi tarafından geliştirilen ve CISO yardımcıları ve mühendislik ekipleriyle işbirlikçi ortaklıklar içeren yeni bir güvenlik yönetişim çerçevesini de uygulayacağını söyledi.
Bell, “Sonuçta Microsoft güven üzerine çalışır ve bu güvenin kazanılması ve sürdürülmesi gerekir” dedi. “Sözümüz, siber güvenliğin gelişen ihtiyaçlarına sürekli olarak gelişmek ve uyum sağlamaktır. Bu bizim için bir numaralı iş.”