Microsoft, temel güvenlik özelliklerini temel teknoloji platformları ve bulut hizmetlerine dahil etmek için Güvenli Gelecek Girişimi adı verilen siber güvenlik stratejisini elden geçiriyor.
Plan, ABD Dışişleri Bakanlığı’nın devlet bağlantılı e-posta hırsızlığının ardından hükümetin ve sektörün Microsoft’a verdiği büyük tepkinin ardından geldi. Microsoft, şirketin federal kurumları gelişmiş saldırganlara karşı koruma sağlamak için gerekli güvenlik özelliklerine sahip olmayan yazılım ürünlerine güvenmeye zorladığından endişe duyan Kongre’nin önemli üyelerinden ve federal yetkililerden sert eleştirilere maruz kaldı.
Dışişleri Bakanlığı davasıyla ilgili geri dönüş, Microsoft’un ek, önemli güvenlik özellikleri için müşterilerden ücret almasıydı.
Microsoft, güvenli varsayılan ayarları kutudan çıktığı gibi etkinleştirmeyi planlıyor; böylece müşterilerin, bir ürünün bilgisayar korsanlarına karşı korunduğundan emin olmak için birden fazla yapılandırmayla uğraşmalarına gerek kalmayacak.
Örneğin Microsoft, varsayılan olarak dokuz güvenlik etki alanında 99 denetim içeren Azure temel denetimlerini uygulayacaktır.
Microsoft, Cybersecurity Dive’a yaptığı açıklamada, “Şimdi farklı olan, tehdit ortamının ölçeğinde, hızında ve karmaşıklığında bir adım değişiklik olması ve bu zorluğun üstesinden gelmemiz gerektiğidir” dedi. “Microsoft bu adımları önceden tahmin ediyor ve boyutları ve karmaşıklıkları göz önüne alındığında bu adımlara yönelik düşünceli bir şekilde çalışıyor.”
Microsoft Security EVP’si Charlie Bell’in bir blog gönderisine göre Güvenli Gelecek Girişimi, güvenlik geliştirme ve müdahale uygulamalarında üç büyük değişiklik içerecek:
- Şirket, otomasyon ve yapay zekayı kullanarak yazılım geliştirme biçimini dönüştürecek. Hem yazılımın nasıl dağıtıldığı hem de nasıl çalıştığı açısından tasarım ve varsayılan olarak güvenli olan yazılımlar geliştirmeye çalışacaktır.
-
Şirket, güvenlik geliştirme yaşam döngüsünü (SDL) dinamik SDL olarak adlandırdığı bir şeye dönüştürecek. Microsoft, sürekli entegrasyonu ve sürekli teslimi (CI/CD) ürün geliştirme sürecine dahil edecek, böylece yetenekler ortaya çıkan tehditlerle birlikte gelişecek.
-
Microsoft, C#, Java, Rust ve Python gibi bellek açısından güvenli dilleri kullanarak yazılım geliştirecek. Şirket, tehdit modelleme ve dağıtımın kullanımını genişletecek CodeQL tüm ticari ürünlerinin kod analizi için.
Değişiklikler kimlikten buluta kadar tüm teknoloji yığınını kapsıyor. Microsoft, tüm ürünlerde standart kimlik kitaplıklarının kullanımını zorunlu kılacak ve imzalama anahtarları, güçlendirilmiş bir Azure donanım güvenlik modülüne ve gizli bilgi işlem altyapısına taşınacak.
Şirket, buluttaki güvenlik açıklarını azaltma süresini %50 azaltacağını ve üçüncü taraf araştırmacıların gizlilik anlaşmaları kapsamında çalışmaya zorlanmaması konusunda daha güçlü bir kamu duruşu sergileyeceğini söyledi.
Analistlere göre, şirketin hatırı sayılır pazar gücü göz önüne alındığında, geliştirme politikalarındaki bu tür bir değişiklik, diğer yazılım ve güvenlik şirketlerini de güvenli geliştirme uygulamalarını benimsemelerini hızlandırmaya teşvik edebilir.
Forrester Başkan Yardımcısı ve baş analist Jeff Pollard, e-posta yoluyla şunları söyledi: “Microsoft olmanın bir avantajı: Duyuruların, sahip olduğu müşteri ve iş ortağı sayısına bağlı olarak muazzam bir dalgalanma etkisi vardır.” “Bununla birlikte, son zamanlardaki güvenlik açıkları göz önüne alındığında bunun açık bir pazarlama unsuru var.”
Güvenlik stratejisi revizyonunun bir parçası olarak Microsoft, tüm ürünlerinde kimlikleri daha iyi korumak için adımlar attığını söyledi. Şirket, bunun ortadaki rakip saldırılarını, token hırsızlığını ve diğer kötü niyetli hackleme yöntemlerini önleyeceğini söyledi.
Şirketin başkan yardımcısı ve başkanı Brad Smith’e göre Microsoft, tehdit analizi, araştırma ve tespitinde yapay zeka kullanımını artırmayı planlıyor.
Şirket, enerji sağlayıcıları, hastaneler, su tesisleri ve gıda üreticileri gibi önemli kritik altyapı sağlayıcılarına güvenlik açıkları yerleştirmeye karşı ulusal taahhütler de dahil olmak üzere uluslararası reformlar yapılması çağrısında bulunuyor.