Microsoft, Microsoft, müşterileri ve daha geniş sektör için siber güvenlik önlemlerini artırmaya yönelik iddialı bir program olan Güvenli Gelecek Girişimi (SFI) hakkında bir güncelleme paylaştı. İlk olarak Kasım 2023’te başlatılan ve Mayıs 2024’te önemli ölçüde genişletilen girişim artık çağdaş siber tehditleri ele almak üzere tasarlanmış altı temel güvenlik sütununu kapsıyor.
Microsoft, toplamda 34.000 tam zamanlı mühendisi SFI’a tahsis etti ve bu da onu tarihin en büyük siber güvenlik mühendisliği çalışmalarından biri haline getirdi. Microsoft, kullanıcıları için güvenli bir ortam sağlama konusundaki benzersiz sorumluluğunu uzun zamandır kabul ediyor. Bu taahhüt, şirketin her çalışanın “her şeyden önce güvenliğe öncelik vermesi” gerektiği yönündeki direktifinde yansıtılıyor.
Microsoft Güvenli Gelecek Girişimi (SFI) Girişimindeki En Son Gelişmeler
Son gelişmeler arasında Baş Bilgi Güvenliği Sorumlusu (CISO) Igor Tsyganskiy tarafından yönetilen Siber Güvenlik Yönetim Konseyi’nin kurulması yer alıyor. Bu konsey, temel işlevler ve mühendislik bölümlerindeki Yardımcı Baş Bilgi Güvenliği Sorumlularından (Yardımcı CISO’lar) oluşuyor ve Microsoft’un siber risk, savunma ve uyumluluğunun kapsamlı bir şekilde denetlenmesini sağlıyor.
Microsoft, güvenliği organizasyonel çerçevesine daha fazla yerleştirmek için güvenliği çalışan performans değerlendirmelerinin temel bir önceliği olarak entegre etti. Bu değişim, tüm çalışanların ve yöneticilerin güvenlik önlemlerine aktif olarak katılmasını, hesap verebilirliği teşvik etmesini ve SFI’ye katkıları tanımasını sağlar.
Ayrıca Microsoft, dünya çapındaki çalışanlar için kişiselleştirilmiş, güvenliğe odaklı eğitim sunan Güvenlik Beceri Akademisi’ni başlattı. Bu girişim, personele rollerinde güvenliğe öncelik vermeleri için gerekli araçları sağlayarak herkesin Microsoft’u korumada bir rol oynadığı fikrini pekiştiriyor.
Şeffaflık ve hesap verebilirliği sağlamak için Microsoft’taki üst düzey liderlik ekibi, SFI ilerlemesini her hafta gözden geçirerek Yönetim Kurulu’na üç aylık güncellemeler sağlar. Özellikle, güvenlik performansı artık doğrudan yönetici tazminatına bağlıdır.
Temel Noktalar: Çok Yönlü Bir Yaklaşım
Güvenli Gelecek Girişimi, her biri siber güvenliğin belirli yönlerini ele almak üzere tasarlanmış altı temel sütun etrafında düzenlenmiştir. Bu sütunlar, Microsoft’un hizmetleri genelinde güvenliği artırmak için yapılandırılmış bir yaklaşım sağlar.
Hem genel hem de ABD hükümet bulutlarında Microsoft Entra ID ve Microsoft Account (MSA) için yeni güncellemeler yapıldı. Bu geliştirmeler, Azure Managed Hardware Security Module (HSM) hizmeti aracılığıyla erişim belirteci imzalama anahtarlarının oluşturulmasını, depolanmasını ve otomatik rotasyonunu iyileştirmeye odaklanıyor.
Ek olarak, Microsoft Entra ID tarafından verilen belirteçlerin %73’ünden fazlası artık tehdit algılama ve avlanma yeteneklerini güçlendiren standart güvenlik belirteci doğrulaması kullanıyor. Dahası, kimlik avına dayanıklı kimlik bilgileri artık üretim ortamlarında zorunlu ve video tabanlı kullanıcı doğrulaması dahili kullanıcıların %95’i için uygulandı.
Microsoft, uygulama yaşam döngüsü yönetimini düzene sokarak 730.000 kullanılmayan uygulamayı ve 5,75 milyon etkin olmayan kiracıyı başarıyla kaldırdı. Bu proaktif yaklaşım, olası saldırı yüzeylerini önemli ölçüde azaltır. Bunun yanı sıra, test ve deney ortamlarını yönetmek için yeni sistemler kuruldu ve 15.000’den fazla üretime hazır kilitli cihazın dağıtımıyla tamamlandı.
Üretim ağındaki fiziksel varlıkların %99’undan fazlası artık merkezi bir envanter sisteminde kataloglanarak varlık sahipliği ve aygıt yazılımı uyumluluk takibi iyileştirildi. Arka uç bağlantısı olan sanal ağlar, kurumsal ağdan sıkı bir şekilde izole edilerek yanal hareket riskleri etkili bir şekilde en aza indirildi. Microsoft ayrıca müşterilerin dağıtımlarını güvence altına almalarına yardımcı olmak için yeni platform yetenekleri de kullanıma sundu.
Tutarlılığı ve güvenilirliği artırmak için ticari bulut için üretim hatlarının %85’i artık merkezi olarak yönetilen şablonları kullanıyor. Ek güvenlik önlemleri arasında Kişisel Erişim Belirteçlerinin kullanım ömrünün azaltılması, dahili mühendislik depoları için Güvenli Kabuk (SSH) erişiminin devre dışı bırakılması ve yazılım geliştirme sürecindeki kritik noktalarda varlık kanıtı kontrollerinin uygulanması yer alıyor.
Microsoft, tüm üretim altyapısında güvenlik denetim günlükleri için standart kütüphaneleri uygulama konusunda önemli ilerleme kaydetti. Bu, ilgili telemetrinin en az iki yıl boyunca yayınlanmasını ve saklanmasını sağlar. Ek olarak, merkezi güvenlik günlüğü toplama, ağ cihazlarının %99’undan fazlası için kurulmuş olup tehdit izleme yeteneklerini büyük ölçüde geliştirmiştir.
Microsoft, kritik bulut güvenlik açıklarına yönelik yanıt sürelerini iyileştirmek için Azaltma Süresini azaltan gelişmiş süreçler uyguladı. Şirket, kritik bulut güvenlik açıklarını Ortak Güvenlik Açıkları ve Maruziyetler (CVE’ler) olarak yayınlamaya başladı ve siber güvenlik çabalarında daha fazla şeffaflık sağladı. Dahası, Müşteri Güvenlik Yönetimi Ofisi’nin (CSMO) kurulması, güvenlik olayları sırasında kamu iletişimini ve müşteri katılımını geliştirmeyi amaçlıyor.
Çözüm
Microsoft’un siber güvenliğe yaklaşımı, mükemmellik arayışından ziyade tutarlı ilerlemeyi vurgular. SFI için seferber edilen kaynaklar, koruyucu önlemleri sürekli olarak iyileştirme, güncel olmayan varlıkları ortadan kaldırma ve daha yakından izlenmesi gereken alanları belirleme yönündeki özverili bir çabayı yansıtır.
Microsoft, stratejilerini ve uygulamalarını uyarlamaya kararlıdır. Şirket, 2024’ün başlarında, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Tasarımla Güvenli taahhüdünün büyük bir destekçisi olarak siber güvenliğe olan bağlılığını yeniden teyit etti.
Bu girişim, güvenliği ürün geliştirmenin her yönüne yerleştirmeyi amaçlamaktadır. Ayrıca Microsoft, siber güvenlik çerçevesini yükseltmek için Siber Güvenlik İnceleme Kurulu’ndan (CSRB) gelen önerileri aktif olarak entegre etmektedir.