Microsoft’un siber güvenlik çabaları son aylarda kapsamlı bir şekilde eleştirildi ve daha iyisini yapma vaadine rağmen şirket, Copilot+ Recall’ın kullanıma sunulması gibi yanlış adımlarla sorunu daha da artırdı.
Microsoft güvenlik kontrolleri, Nisan ayında ABD Siber Güvenlik İnceleme Kurulu’nun (CSRB) Çin’le bağlantılı tehdit aktörlerinin “birçok şirketin resmi e-posta hesaplarına” erişmesine izin veren “Microsoft’ta bir dizi güvenlik hatası”nı ayrıntılı olarak açıklayan bir raporunun yayınlanmasıyla inceleme altına alındı. Temmuz 2023’teki bir saldırıda ülkemizin Çin Halk Cumhuriyeti ile ilişkisini yöneten en üst düzey ABD hükümet yetkililerinin “.
Microsoft, siber güvenliği birinci öncelik haline getirme vaadini yerine getirmek yerine, şirketin geç de olsa ele almaya çalıştığı güvenlik ve gizlilik savunucularının endişelerine rağmen yeni Windows Geri Çağırma ekran kayıt özelliğini öne çıkararak kendi hedefinin siber güvenlik eşdeğerini takip etti. .
Temsilciler Meclisi İç Güvenlik Komitesi bugün CSRB raporunu ve genel olarak Microsoft güvenliğini ele almak üzere Microsoft Başkanı Brad Smith’in tek tanık olduğu bir duruşma düzenledi. “Güvenlik Başarısızlıkları Basamağı: Microsoft Corporation’ın Siber Güvenlik Eksikliklerini ve Ulusal Güvenlik Açısından Etkilerini Değerlendirmek” başlıklı duruşma, Pro Publica’nın 2021’deki devasa SolarWinds ihlaline yol açan yıllar süren Microsoft güvenlik başarısızlıklarını ayrıntılarıyla anlatan bir rapor yayınlamasıyla aynı gün gerçekleşti. .
Kongre Liderlerinden ‘Sorumluluk’ ve ‘Hesap Verilebilirlik’ Çağrısı
Açılış konuşmasında Temsilciler Meclisi İç Güvenlik Başkanı Mark Green (R-TN), CSRB raporunu “son derece endişe verici” olarak nitelendirdi ve Microsoft ürünlerinin güvenliğine yönelik “kamuoyunun güveninin yeniden tesis edilmesi” ihtiyacından bahsetti.
“Çin ve Rusya, Pekin ve Moskova şu anda bizi izliyor” diye uyardı ve hassas soruların güvenli bir ortama taşınmasını teklif ederken duruşmanın risklerinin altını çizdi.
Sıralama üyesi Bennie Thompson (R-MS), “Komitenin amacının Smith ve Microsoft’u utandırmak veya itibarsızlaştırmak olmadığını”, ancak federal hükümetin üretkenlik araçlarının %85’ini sağlayan satıcının güvenliğini ve hesap verebilirliğini geliştirmek olduğunu vurguladı.
Thompson, yorumlarında Recall sunumu ve Pro Publica makalesine dikkat çekerek, Smith’in 2021’de Kongre önünde SolarWinds saldırısında hiçbir Microsoft güvenlik açığından yararlanılmadığına dair iddiasını “daha da rahatsız edici” olarak nitelendirdi.
Green ve Thompson, Microsoft’a karşı katı bir tavır sergileyen tek komite üyeleri değildi; çünkü hemen hemen her üye, kendilerine ayrılan sorgulama zamanında aynısını yapıyordu. Örneğin Lou Correa (D-CA), CSRB raporundaki ve başka yerlerdeki güvenlik ifşaatları karşısında “şok olmanın ötesinde” olduğunu söyledi.
Microsoft Başkanı Smith Eylem Sözü Verdi
Belki de milletvekillerinin sert bir karşılama beklediğini tahmin eden Smith, komiteye verdiği yazılı ve sözlü ifadesinde uzlaşmacı bir ton kullandı.
Smith, “Microsoft, CSRB’nin raporunda belirtilen konuların her birinin sorumluluğunu kabul ediyor” dedi. “Kaçış veya tereddüt olmadan. Ve hiçbir savunma duygusu olmadan. Ancak bunun yerine, her öneriyi ele alma ve bu raporu, siber güvenlik korumamızı genel anlamda güçlendirmek için bir fırsat ve temel olarak kullanma konusunda tam bir kararlılıkla.”
Smith, şirketin “her çalışanı güvenlik sorunlarını bulma, bunları bildirme, düzeltmeye yardımcı olma ve süreçten ve süreçten daha geniş öğrenmeyi teşvik etme konusunda yetkilendirme ve ödüllendirme” hedefinin bir parçası olarak, şirketin siber güvenliği üst düzey yönetici ikramiye hesaplamalarının ve çalışan incelemelerinin bir parçası haline getirdiğini söyledi. sonuçlar. Bu, bu güvenlik çalışmasını şirketin mühendislik süreçlerinin her aşamasına vazgeçilmez ve entegre bir unsur olarak dahil etmemizi gerektiriyor.”
Smith, bu amaçla şirketin bu mali yılda 1.600 güvenlik mühendisi daha eklediğini ve “bir sonraki mali yılımızda 800 yeni güvenlik pozisyonu daha ekleyeceğimizi” söyledi.
Microsoft’taki üst düzey CISO Yardımcıları, “güvenliğin mühendislik karar alma süreçlerine ve süreçlerine ‘dayanmasını’ sağlamak ve değerlendirmek için çeşitli mühendislik ekiplerinin gözetimini” genişletmekle görevlendirildi.
Smith, siber saldırıların genel olarak büyük bir sorun haline geldiğini söyledi: “Saldırıların hızı, artık siber uzayda sürekli mücadelenin olduğu noktaya kadar arttı” dedi. “Sadece her gün değil, kelimenin tam anlamıyla her saniye. Yalnızca Microsoft, müşterilerimize her günün her saniyesinde 4.000’e yakın parola tabanlı saldırı tespit ediyor.”
Microsoft Güvenlik Planları
Smith, Microsoft’un, şirketin Güvenli Gelecek Girişimi kapsamında “bunları ele aldığımızdan emin olmak için” Microsoft için geçerli olan 16 CSRB tavsiyesinin tamamını haritalandırdığını söyledi.
Şirket “aktif olarak hem tüketici hem de kurumsal kimlik sistemlerimizi, anahtarların depolanması ve oluşturulması için donanım güvenlik modüllerinden yararlanan yeni, güçlendirilmiş bir anahtar yönetim sistemine geçirme sürecindedir. Tokenların doğrulandığı tüm yerlerde özel verileri ve ilgili tespit sinyallerini yayınlıyoruz. Otomatik ve Sık Anahtar Döndürme, Ortak Kimlik Doğrulama Kitaplıkları ve belirteç oluşturma algoritmamızda kullanılan Özel Veriler konusunda da önemli ilerleme kaydettik.”
Smith’in yazılı ifadesinde güvenliği artırmaya yönelik altı “direk” özetlendi:
Kimlikleri ve Sırları Koruyun: Microsoft, “yalnızca doğru kişilerin ve uygulamaların doğru kaynaklara erişmesini sağlamak için kimlikleri ve parolalar (“sırlar”) gibi hassas bilgileri yöneten sınıfının en iyisi standartları altyapımız genelinde uygulamayı ve uygulamayı planlamaktadır.
Kiracıları Koruyun ve Üretim Sistemlerini Yalıtın: Şirket, “Microsoft Bulutunu işlettiğimiz sistemler de dahil olmak üzere üretim sistemlerinin izolasyonunu sürekli olarak doğrulamayı” taahhüt ediyor.
Ağları Koruyun: Microsoft, “Microsoft üretim ağlarını korumak için sürekli olarak sınıfının en iyisi uygulamaları geliştirecek ve uygulayacaktır.”
Mühendislik Sistemlerini Koruyun: Şirket, “Yazılım tedarik zincirimizi ve Microsoft mühendislerinin yazılım geliştirmesine, oluşturmasına, test etmesine ve yayınlamasına olanak tanıyan sistemleri sürekli olarak iyileştirmek, böylece yazılım varlıklarını korumak ve kod güvenliğini artırmak” için çalışacağını söyledi.
Tehditleri İzleyin ve Tespit Edin: Bu girişim, Microsoft’un “Microsoft üretim altyapısına ve hizmetlerine yönelik sürekli gelişen tehditlerin kapsamını ve otomatik tespitini iyileştirmesi ve bu tehditlere karşı harekete geçmeyi hızlandırması” çağrısında bulunuyor.
Yanıt ve Düzeltmeyi Hızlandırın: Olaylara müdahaleyi ve iyileştirmeyi hızlandırmak son dayanak noktasıdır; bu nedenle “sunumlarımızdaki veya altyapımızdaki güvenlik açıklarını öğrendiğimizde, daha kapsamlı ve zamanında davranmalı ve bu güvenlik açıklarından yararlanılmasını daha iyi önlemeliyiz.”