Microsoft’un Güvenli Gelecek Girişimi’nin (SFI) oldukça sağlıklı göründüğü ve Amerikan politikacıları tarafından kötülenmesine yol açan temel sorunların bazılarını çözme yönünde istikrarlı bir ilerleme kaydettiği, bir ilerleme raporuna göre ortaya çıktı.
Microsoft, fidye yazılımı çeteleri tarafından istismar edilen ProxyLogon ve ProxyShell Microsoft Exchange Server güvenlik açıkları ve Çinli tehdit aktörü Storm-0558’in sahte erişim belirteçleri üreterek hükümet müşterilerini hedef alan saldırıları da dahil olmak üzere teknolojisini hedef alan bir dizi yüksek profilli güvenlik olayına karıştıktan sonra Kasım 2023’te SFI’yi başlattı.
Storm-0558 saldırılarının ardından Redmond, Washington DC tarafından açıkça ihmalkarlıkla suçlandı ve Ocak 2024’te SolarWinds Sunburst saldırganı Cozy Bear’ın sistemlerine sızması da dahil olmak üzere ek olayların ardından, ABD Siber Güvenlik İnceleme Kurulu’nun (CSRB) suçlayıcı bir raporu, programda daha fazla iyileştirme yapılmasını sağladı.
Rapor özetinde, Microsoft güvenlikten sorumlu başkan yardımcısı Charlie Bell, Microsoft’un güvenliğe olan bağlılığını yeniden teyit ederek, mükemmellikten çok tutarlı ilerlemenin çok daha önemli olduğunu ve bunun Microsoft’un SFI’ın hizmetinde harekete geçirdiği kaynakların ölçeğine yansıdığını söyledi. SFI, tarihin en büyük siber projelerinden biri olup üzerinde 34.000 tam zamanlı mühendis çalışmaktadır.
“Korumayı sürekli olarak artırmak, eski veya uyumsuz varlıkları ortadan kaldırmak ve izleme için kalan sistemleri belirlemek için yaptığımız ortak çalışma, başarımızı kesin olarak ölçüyor” dedi.
Bell, “İleriye baktığımızda, sürekli iyileştirmeye bağlı kalmaya devam ediyoruz” dedi. “SFI, yeni tehditlere uyum sağlayarak ve güvenlik uygulamalarımızı iyileştirerek gelişmeye devam edecek. Şeffaflık ve sektör iş birliğine olan bağlılığımız sarsılmaz olmaya devam ediyor.
“Şimdiye kadar yaptığımız iş sadece bir başlangıç,” dedi. “Siber tehditlerin evrimleşmeye devam edeceğini biliyoruz ve onlarla birlikte evrimleşmeliyiz. Bu sürekli öğrenme ve iyileştirme kültürünü destekleyerek, güvenliğin sadece bir özellik değil, bir temel olduğu bir gelecek inşa ediyoruz.”
Altı sütun
Microsoft SFI’ın temelinde altı temel unsur yer alır:
- Kimliklerin ve sırların, sınıfının en iyisi, kuantum tabanlı standartlar kullanılarak korunması;
- Tüm Microsoft kiracılarının ve üretim sistemlerinin korunması ve izolasyonu;
- Microsoft üretim ağlarının korunması ve Microsoft ile müşteri kaynaklarının izole edilmesi;
- Yazılım varlıklarını, kod güvenliğini ve yazılım tedarik zincirinin yönetimini kapsayan mühendislik sistemlerinin korunması;
- Microsoft üretim altyapısına yönelik tehditlerin izlenmesi ve tespiti, kapsamlı koruma sağlanması ve otomatik olarak tespit edilmesi;
- Güvenlik açıklarına yanıt verme ve bunları giderme sürecinin hızlandırılması, yüksek öneme sahip hataların giderilmesi için gereken sürenin azaltılması ve kamusal mesajlaşma ve şeffaflığın artırılması.
Bunlardan ilkinde Bell, erişim belirteci imzalama anahtarlarını oluşturmak, depolamak ve döndürmek için kamu ve hükümet bulutlarına yönelik Microsoft Entra ID ve Microsoft Account’ta yapılan güncellemeleri ve artık Microsoft uygulamaları genelinde Entra ID tarafından verilen belirteçlerin %73’ünden fazlasını kapsayan tutarlı belirteç doğrulaması için standart kimlik yazılımı geliştirme kitlerinin artan benimsenmesini vurguladı.
İkinci olarak, Microsoft üretim ve üretkenlik kiracı mülkü genelinde uygulama yaşam döngüsü yönetiminin tam bir yinelemesini tamamladı ve bugüne kadar kimsenin artık kullanmadığı 730.000 yazılım parçasını ortadan kaldırdı. Yaklaşık altı milyon etkin olmayan kiracı da sessizce ortadan kaldırıldı ve saldırı yüzeyi daha da azaltıldı. Bu arada, güvenli varsayılanlar ve sıkı ömür boyu yönetim kontrolleriyle test ve deney kiracılarının kurulumunu kolaylaştıran yeni bir sistem artık uygulandı.
Üçüncüsü, Microsoft’un üretim ağındaki fiziksel varlıkların %99’undan fazlası artık merkezi bir envanterde kaydediliyor ve arka uç bağlantısına ihtiyaç duyan sanal ağlar Microsoft kurumsal ağından izole edildi ve artık orada olmaması gereken birileri varsa yanal hareketi ortadan kaldırmaya yardımcı olmak için tam güvenlik incelemelerine tabi tutuluyor. Müşteriler için Microsoft, platform-hizmet olarak kaynaklarını izole etmeyi kolaylaştırmak için Yönetici Kuralları gibi platform yeteneklerini de genişletti.
Dördüncü ayağa dönersek, Microsoft’un ticari bulutu için üretim yapı hatlarının %85’inden fazlası artık merkezi olarak yönetilen hat şablonlarını kullanıyor. Bu da dağıtımı daha kolay ve daha da önemlisi daha güvenilir hale getirmeli.
Bu arada, Kişisel Erişim Belirteçlerinin ömrü bir haftaya düşürüldü ve tüm Microsoft dahili mühendislik depoları için SSH erişimi devre dışı bırakılırken, mühendislik sistemlerine erişmek için yükseltilmiş rollerin ihtiyaç duyduğu sayı büyük ölçüde azaltıldı. Microsoft ayrıca geliştirme akışlarındaki çeşitli önemli kavşaklarda varlık kanıtı denetimi uyguladı.
Beşinci sütun olan tehditleri izleme ve tespit etme konusunda Microsoft, ilgili telemetriyi yaymak için üretim altyapısı ve hizmetleri genelinde güvenlik denetim günlükleri için standart kitaplıkları uygulama konusunda “önemli” ilerleme kaydettiğini, bu günlükler için saklama süresinin artık en az iki yıla kadar çıktığını söyledi. Tüm ağ cihazlarının %99’undan fazlasının artık merkezi günlük toplama ve saklama ile etkinleştirildiğini söyledi.
Son olarak, yanıt ve düzeltme konusunda Microsoft, kritik bulut güvenlik açıklarını azaltma süresini iyileştirmek için süreçleri güncellediğini ve müşterilerin aslında hiçbir şey yapmasına gerek olmasa bile kritik bulut güvenlik açıklarını CVE olarak yayınlamaya başladığını bildirdi. Ayrıca, kamusal mesajlaşma ve etkileşim hizmeti için bir Müşteri Güvenlik Yönetim Ofisi kurdu.
Güvenlik kültürü
Ancak Microsoft bununla yetinmeyi planlamıyor ve bugün kendi çalışanlarının güvenli bir şekilde nasıl davranacaklarını ve olaylara uygun şekilde nasıl tepki vereceklerini iyileştirmeyi amaçlayan bir dizi girişimi kamuoyuna duyurdu.
Bunlar arasında Siber Güvenlik Yönetim Konseyi’nin kurulması ve CISO Igor Tsyganskiy liderliğindeki temel siber işlevler ve mühendislik bölümleri için Microsoft’un genel risk, savunma ve uyumluluk duruşundan sorumlu olacak yardımcı bilgi güvenliği yöneticilerinin (CISO’lar) atanması yer alıyor.
Bundan sonra, kuruluş genelindeki her çalışanın performans değerlendirmelerinde temel siber gereklilikleri karşılamayı taahhüt edeceği ve bundan sorumlu tutulacağı ve dahili güvenlik becerileri akademisi programının oluşturulmasında onlara yardımcı olacağı da ortaya çıktı.
Bu arada, üst düzey yönetim ekibi artık SFI’ın ilerlemesini haftalık olarak gözden geçirmek ve her üç ayda bir yönetim kuruluna güncellemeler sağlamakla görevlendirildi; güvenlik performansları artık doğrudan maaş paketlerine bağlandı.