Microsoft’un Güvenli Gelecek Girişimi, tehdit istihbaratı profesyonellerini pek ilgilendirmiyor olabilir veya en azından öyle. Sherrod DeGrippo ilk başta düşündüm.
DeGrippo, Microsoft’un tehdit istihbarat stratejisi direktörübaşlangıçta şirket genelinde temel platformlar ve hizmetler genelinde siber güvenlik stratejisini elden geçirme çabasını gördü, 2023 sonbaharında tanıtılacak Ürüne bağlı olarak.
DeGrippo bir röportajında, “SFI’ın Microsoft’un yapabileceği her şekilde dünyayı daha güvenli hale getirmekle ilgili olduğunu düşündüm. Yazılımımızı gerçekten daha güvenli hale getirmiyorum. Ben o kod tabanında değilim,” dedi.
Microsoft, şirket genelinde güvenliğe öncelik veren bir yaklaşım benimserken, programlama düzeyinde siber güvenlik konusunda da ciddileşiyor. Şirket, yazılım geliştiricilerinin güvenliğe nasıl yaklaştıklarını, kısmen, Microsoft sistemlerini hedef alan saldırganların hedefleri ve motivasyonları da dahil olmak üzere tehdit istihbaratıyla tanıştırarak düzeltmeye çalışıyor.
Güvenlik sorumluluğu yalnızca Microsoft’un güvenlik ekibine ait değildir. Microsoft’un kurumsal başkan yardımcısı ve baş siber güvenlik danışmanı Bret Arsenault, Mayıs ayında RSA Konferansı’nda Cybersecurity Dive’a verdiği röportajda “Yazılımı farklı şekilde geliştirmemiz gerekiyor” dedi.
Geçtiğimiz ay DeGrippo, Microsoft’un Redmond, Washington’daki merkezinde şirket genelinde 100 yazılım geliştiricisi ve mühendislik lideriyle dört saatlik bir dizi atölyenin ilki yönetti. DeGrippo onları kendi dünyasına bir yolculuğa çıkarırken, geliştiricilerin tehdit istihbaratını günlük olarak nasıl göz ardı ettiğine dair birinci elden bir bakış açısı elde etti.
DeGrippo, “Bu süper zeki yazılım mühendislerinin, büyük ölçekli kodlar ve büyük uygulamalar, işletim sistemleri geliştirmede inanılmaz olduklarını görüyorum; ancak bunlar benim tüm hayatımı oluşturan günlük yaşamlarında gerçekten yer almayan kavramlar” dedi.
Tartışmalar, sınavlar ve okumalar boyunca Microsoft geliştiricileri ve mühendisleri Rusya ve Çin bağlantılı tehdit gruplarının farklı işletme modelleri hakkında bilgi edindiler. Buna grupların yaptığı seçimler, kim oldukları, nerede yaşadıkları, her gün ne yaptıkları ve hayatlarının nasıl olduğu da dahildi.
Tehdit istihbaratının bu karmaşıklıkları saldırganları insanlaştırır ve tehdit gruplarını aşılmaz bir güç olarak gören savunmacıların özgüvenini artırabilir.
İlk çalıştayın erken bir molasında DeGrippo, geliştirici meslektaşlarından hiç birinin favori bir tehdit grubunun olmadığını öğrenince şaşırdı.
Yazılım geliştiricileri arasında herhangi bir favori firmanın olmaması, Microsoft’un kendisini ve müşterilerini savunmaya çalıştığı tehdit gruplarına yönelik daha geniş bir ilgi ve anlayış eksikliğinin örneğidir.
“Hiçbir zaman favorimi seçemedim. Çok fazla favorim var. Onların hiçbiri yoktu,” dedi.
Atölyenin sonunda herkesin favori bir tehdit grubu vardı. DeGrippo, “Bu bana şunu söyledi, ben sana sadece materyal öğretmedim, materyal hakkında bir görüşe sahip olma yeteneğini de verdim,” dedi.
Tehdit istihbaratının yazılım geliştirmedeki rolü
Bu tür atölyeler Microsoft’un devam eden girişiminin bir parçası olarak yeni bir şey. Nisan ayında ikiye katlandı Şirketin CEO’su Satya Nadella, güvenliği, diğer tüm özellik ve yatırımların önünde tutarak şirketin 1 numaralı önceliği haline getireceklerini söyledi.
İlk atölye çalışması, DeGrippo’nun tehdit istihbaratı hakkında şirket içi güvenlik dışı kitlelerle ilk kez konuşmasıydı ve kendisi ve meslektaşları için ufuk açıcı bir deneyimdi.
“Ben bir geliştirici değilim, ancak bu geliştiricilerin tehditleri daha önce hiç anlamadıkları bir şekilde anlamalarını sağlıyorum,” dedi DeGrippo. “Sonuç olarak, bana göre, SFI’ın yapabileceği en önemli şey Microsoft’un tamamında karar alma süreçlerini değiştirmek ve Microsoft içinde güvenlik ve yazılımları nasıl yapacağımız konusunda bilinçli seçimler yapmamızı sağlamak.”
Microsoft’un güvenliğe öncelik veren yaklaşımı, Microsoft’un kurumsal ve kamu müşterilerinin kullandığı altyapı ve hizmetlere yönelik ulus-devlet bağlantılı iki kapsamlı saldırının ardından geldi.
The Siber Güvenlik İnceleme Kurulu, yıkıcı bir rapor yayınladı Nisan ayında, Çin bağlantılı bir tehdit grubunun Mayıs 2023’te Microsoft Exchange hesaplarını tehlikeye atmasına olanak tanıyan “Microsoft’taki bir dizi güvenlik açığı” hakkında bir açıklama yaptı.
Şirketin güvenlik açıkları Ocak ayında daha da açığa çıktı Midnight Blizzard tarafından yapılan bir saldırıyı ifşa ettiMicrosoft’un üst düzey yöneticilerinden parola püskürtme saldırısıyla e-postaları çalan Rusya bağlantılı bir tehdit grubu.
DeGrippo’ya göre, atölye çalışması Microsoft’un daha fazla işlevler arası faaliyet yürütmesi ve tehdit istihbaratını şirketin yaptığı her şeye dahil etmesi gerektiğinin altını çizdi.
“Gerçekten umut bu geliştiricilerde,” dedi DeGrippo. “Gerçekten de SFI prensipleri altında yapabilecekleri en iyi seçimleri yapmaya doğru ilerlemeleri gerekiyor.”