Po latach firma Microsoft uczyniła bezpieczeństwo swoim priorytetem numer jeden dla wszystkich pracownika Problemy z bezpieczeństwem i narastająca krytyka. Po zjadliwym raporcie amerykańskiej Komisji ds. Przeglądu Bezpieczeństwa Cybernetycznego niedawno zakończone iż „kultura bezpieczeństwa Microsoftu była nieodpowiednia i wymaga gruntownej zmiany”, robi to właśnie poprzez nakreślenie zestawu zasad i celów bezpieczeństwa powiązanych z pakietami wynagrodzeń dla wyższego kierownictwa Microsoftu.
Ostatni listopad, Microsoft ogłosił inicjatywę Secure Future (SFI) w odpowiedzi na rosnącą presję na firmę, aby odpowiedziała na ataki, które to umożliwiły Chińscy hakerzy włamują się do poczty elektronicznej rządu USA konta. Zaledwie kilka dni po ogłoszeniu tej inicjatywy rosyjskim hakerom udało się przełamać zabezpieczenia Microsoftu i szpiegować konta e-mail niektórych członków wyższego kierownictwa firmy Microsoft. Microsoft odkrył atak dopiero prawie dwa miesiące później, w styczniu, i dotyczył tej samej grupy nawet ukradł kod źródłowy.
Te niedawne ataki były szkodliwe, a raport Komisji ds. Przeglądu Bezpieczeństwa Cybernetycznego dodał oliwy do ognia ostatnio w firmie Microsoft, stwierdzając, iż firma mogła zapobiec naruszeniu kont e-mail rządu USA w 2023 r. oraz iż do tego incydentu doprowadziła „kaskada błędów w zakresie bezpieczeństwa” .
„Bezpieczeństwo jest naszym najwyższym priorytetem w firmie Microsoft ponad wszystko inne” – wyjaśnia Charlie Bell, wiceprezes wykonawczy ds. bezpieczeństwa firmy Microsoft, w dzisiejszy wpis na blogu. „Będziemy zaszczepiać odpowiedzialność, opierając część wynagrodzenia starszego zespołu kierowniczego firmy na naszych postępach w realizacji naszych planów i kamieni milowych w zakresie bezpieczeństwa”.
Firma Microsoft ma w tej chwili trzy zasady bezpieczeństwa, które w dużej mierze stanowią część tych celów: bezpieczeństwo z założenia; domyślnie bezpieczny; bezpieczne operacje. Zasady te mają na celu stawianie bezpieczeństwa na pierwszym miejscu na etapie projektowania produktów i usług, położenie większego nacisku na zabezpieczenia włączone domyślnie oraz poprawę kontroli i monitorowania obecnych i przyszłych zagrożeń.
Szersze cele podkreślone są przez „sześć priorytetowych filarów bezpieczeństwa”, co jest korporacyjnym określeniem rzeczy, które Microsoft musi znacznie ulepszyć:
- Chroń tożsamość i tajemnice. Microsoft obiecuje wdrożyć „najlepsze w swojej klasie standardy” w swojej infrastrukturze tożsamości i sekretów, tak aby 100 procent kont użytkowników było chronionych przy użyciu uwierzytelniania wielopoziomowego, a 100 procent aplikacji było chronionych dzięki zarządzanych poświadczeń, takich jak certyfikaty.
- Chroń najemców i izoluj systemy produkcyjne. Microsoft przyjmuje tutaj podejście zapewniające, iż tylko sprawne, zarządzane i bezpieczne urządzenia uzyskają dostęp do własnego zestawu usług firmy, wraz z modelem dostępu z najniższymi uprawnieniami (minimalne poziomy dostępu lub uprawnień) dla 100 procent aplikacji.
- Chroń sieci. Microsoft obiecuje zabezpieczyć 100 procent swoich sieci produkcyjnych i systemów podłączonych do sieci poprzez zastosowanie izolacji i mikrosegmentacji we wszystkich środowiskach produkcyjnych. Powinno to pomóc w stworzeniu dodatkowych warstw obrony przed atakującymi.
- Chroń systemy inżynieryjne. Microsoft twierdzi, iż w 100% zabezpieczy dostęp do swojego kodu źródłowego dzięki zasad Zero Trust i zasad dostępu o najniższych uprawnieniach. Każdy kod źródłowy wdrożony w środowiskach produkcyjnych będzie również chroniony najlepszymi praktykami w zakresie bezpieczeństwa, a środowiska testowe będą również miały standardowe zabezpieczenia i izolację infrastruktury.
- Monitoruj i wykrywaj zagrożenia. Microsoft obiecuje przechowywać 100 procent dzienników zabezpieczeń przez dwa lata i udostępniać klientom „odpowiednie dzienniki” przez sześć miesięcy. Będzie także automatycznie wykrywać i „szybko” reagować na podejrzane zmiany dostępu lub konfiguracji w 100% infrastruktury produkcyjnej i usług firmy Microsoft.
- Przyspiesz reakcję i naprawę. Celem jest zapobieganie wykorzystywaniu niezałatanych luk w zabezpieczeniach poprzez zastosowanie bardziej „szybkich środków zaradczych”. Firma Microsoft zobowiązuje się skrócić czas potrzebny na naprawienie luk w zabezpieczeniach chmury o „wysokim znaczeniu” i zwiększyć przejrzystość tych problemów, przyjmując standardy branżowe Common Weakness Enumeration (CWE) i Common Platform Enumeration (CPE).
Wszystkie te cele są powiązane z częścią wynagrodzenia kierownictwa firmy Microsoft i stanowią wyraźną i bezpośrednią reakcję na niedawne włamania rosyjskich hakerów oraz zalecenia Komisji ds. Przeglądu Bezpieczeństwa Cybernetycznego.
Microsoft koordynuje w tej chwili prace swoich zespołów inżynieryjnych, aby etapami wykonywać te prace w całej firmie. „Te fale inżynieryjne obejmują zespoły korzystające z chmury Azure, systemu Windows, Microsoft 365 i zabezpieczeń, a dodatkowe zespoły ds. produktów włączają się w ten proces co tydzień” – mówi Bell.
Microsoft już czyni postępy w realizacji swoich ambitnych celów w zakresie bezpieczeństwa. Firma domyślnie wdrożyła rozwiązanie wieloczynnikowe w ponad milionie własnych dzierżawców w firmie Microsoft, w tym w tych używanych do programowania, testowania, demonstracji i produkcji. Do tej pory usunięto także 730 000 aplikacji, które „wyszły z cyklu życia lub nie spełniały obecnych standardów SFI”.
Producent systemu próbuje również ulepszyć swoją kulturę bezpieczeństwa po tym, jak Komisja ds. Przeglądu Bezpieczeństwa Cybernetycznego uznała je za „nieodpowiednie”. Kierownicy inżynierii w firmie Microsoft organizują w tej chwili cotygodniowe i comiesięczne spotkania operacyjne, w których biorą udział różne osoby z kierownictwa i wyższego szczebla, a ich celem jest poprawa sposobu myślenia Microsoftu o bezpieczeństwie w całej firmie.
Microsoft dodaje także zastępców dyrektora ds. bezpieczeństwa informacji (CISO) do każdego zespołu produktowego i przenosi swój zespół ds. analizy zagrożeń, aby podlegał bezpośrednio CISO. Powinno to oznaczać wyraźną odpowiedzialność za bezpieczeństwo w zespołach inżynierskich.
Zgłosiłem w zeszłym miesiącu iż wewnątrz Microsoftu panuje obawa, iż niedawne ataki na bezpieczeństwo mogą poważnie podważyć zaufanie do firmy. „Ostatecznie Microsoft opiera się na zaufaniu, na które trzeba zapracować i je utrzymać” – mówi Bell. „Jako globalny dostawca oprogramowania, infrastruktury i usług w chmurze, czujemy głęboką odpowiedzialność, aby dołożyć wszelkich starań, aby zapewnić światu bezpieczeństwo. Naszą obietnicą jest ciągłe doskonalenie i dostosowywanie się do zmieniających się potrzeb w zakresie cyberbezpieczeństwa. To dla nas praca nr 1.”
