Microsoft, federal Siber Güvenlik İnceleme Kurulu’nun sert raporunun ardından iç güvenlik kültüründe daha kapsamlı bir yeniden yapılanma kapsamında Siber Güvenlik Yönetim Konseyi kurduğunu duyurdu.
Konsey, devam eden uyumluluğun sorumluluğunu üstlenecek, düzenleyici gereklilikleri uygulayacak ve güvenlik hedeflerine ulaşmak için gereken mimariyi belirleyecek. Yönetim değişiklikleri, Microsoft’un güvenlik uygulamalarını nasıl yenilediğini ve hesap verebilirliği nasıl artırdığını gösteren Pazartesi günü yayınlanan bir ilerleme raporunda listelenmiştir. Kasım ayında Güvenli Gelecek Girişimi’ni başlatıyoruz.
Bu çabanın bir parçası olarak Microsoft, Azure, Microsoft 365, AI ve oyun dahil olmak üzere şirket içindeki belirli ürün segmentlerinden sorumlu olacak 13 yardımcı CISO atadı.
Microsoft, yeni yapı altında şirketin üst düzey liderlik ekibinin SFI kapsamında kaydedilen ilerlemeyi haftalık olarak gözden geçirdiğini söyledi. Buna karşılık, şirket yönetim kuruluna her çeyrekte güncellemeler sağlayacak.
Microsoft ayrıca bulut ve üretim ortamlarındaki riski azaltmak için tasarlanmış bir dizi dahili değişikliği de ayrıntılı olarak açıkladı:
- Şirket, erişim belirteci imzalama anahtarlarını oluşturmak, depolamak ve otomatik olarak döndürmek için kamu ve ABD hükümet bulutu için Microsoft Entra ID ve Microsoft Account’ta güncellemeleri tamamladı.
- Şirket, üretim ve üretkenlik kiracıları için uygulama yaşam döngüsü yönetiminin bir parçası olarak 730.000 kullanılmayan uygulamayı ortadan kaldırdı. Microsoft ayrıca 5,75 milyon etkin olmayan kiracıyı ortadan kaldırarak saldırı yüzeyini azalttığını söyledi.
- Microsoft, ticari bulut için üretim yapı hatlarının yaklaşık %85’ini çalıştırmak için artık merkezi olarak yönetilen bir hat şablonu kullanıyor; bu, dağıtımların daha tutarlı ve güvenilir olmasına yardımcı olacak bir çaba.
- Şirket, şeffaflığı artırmak amacıyla kritik bulut açıklarını azaltma süresini iyileştirmek için süreçleri güncelledi ve bunları CVE olarak yayınladı.
Personel değişiklikleri
Microsoft, yönetim ve üretim değişikliklerinin ötesinde, dikkatini çalışanlarının becerilerine çeviriyor. Şirket, Temmuz ayında tüm şirket çalışanlarına özel güvenlik eğitimi sağlayan Güvenlik Beceri Akademisi’ni başlattığını söyledi.
Eğitim programı, 2023 yazında Çin’e bağlı bir tehdit grubunun gerçekleştirdiği yıkıcı bir ihlalin ardından geliyor. ABD Dışişleri Bakanlığı’ndan 60.000 e-posta çaldı ve ABD Ticaret Bakanı Gina Raimondo’nun hesabını ihlal etti.
CSRB raporu 2023’teki saldırının tamamen önlenebilir olduğunu söyledi ve Microsoft’taki dahili kültürün önceliklendirildiğini belirtti. güvenlikten çok pazara sunma hızı ve acil değişiklikler gerektiriyordu.
Ocak ayında devlet bağlantılı Midnight Blizzard tarafından açıklanan ayrı bir saldırı, üst düzey şirket yöneticilerinin e-postalarını ihlal etmek için bir parola spreyi saldırısı kullandı. Tehdit grubu daha sonra federal kurumları hedef almak için çalınan kimlik bilgileri.
Microsoft, Mayıs ayının başlarında planlarını duyurdu birçok iç yönetim uygulamasını yeniden yapılandırın ve CSRB raporu tarafından önerilen diğer değişiklikleri yapın. Bu değişiklikler arasında Microsoft, tazminatı kısmen güvenliğe bağlayacağını da söyledi.
Trellix’in kamu politikaları şefi Tom Gann, e-posta yoluyla “Microsoft’un Güvenli Gelecek Girişimi, BT sektörünün sıfır günlerinin çoğundan sorumlu olan bir şirket tarafından gerekli bir girişimdir,” dedi. “Microsoft nihayet bir güvenlik kültürüne kurumsal bir bağlılık oluşturmak için çalışırken, tasarıma göre güvenli, varsayılan olarak güvenli ve işlemlere göre güvenli olmaya odaklanmak mantıklıdır.”