Microsoftu Inicjatywa Bezpiecznej Przyszłości (SFI) wydaje się być w doskonałej kondycji i czyni stałe postępy w rozwiązywaniu niektórych zasadniczych problemów, które doprowadziły do tego, iż amerykański gigant systemu został skrytykowany przez amerykańskich polityków, zgodnie z raportem o postępach prac.
Firma Microsoft uruchomiła SFI w listopadzie 2023 r. po tym, jak uwikłała się w serię głośnych incydentów bezpieczeństwa wymierzonych w jej technologię – w tym ProxyLogon i ProxyShell Luki w zabezpieczeniach serwera Microsoft Exchange, które zostały wykorzystane przez gangi ransomware, oraz włamania chińskiego aktora zagrożeń Storm-0558, którego celem byli klienci rządowi poprzez fałszowanie tokenów dostępu.
W następstwie ataków Storm-0558 Redmond został oskarżony przez Waszyngton o całkowite zaniedbanie, a po kolejnych incydentach, w tym ataku w styczniu 2024 r., w którym atakujący z SolarWinds Sunburst Cozy Bear zinfiltrował jego systemydruzgocący raport amerykańskiej Rady ds. Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) skłonił dalsze udoskonalenia programu.
W podsumowaniu raportu Charlie Bell, wiceprezes ds. bezpieczeństwa w firmie Microsoft, potwierdził zaangażowanie firmy Microsoft w kwestie bezpieczeństwa, stwierdzając, iż stały postęp jest o wiele ważniejszy niż perfekcja, co znalazło odzwierciedlenie w skali zasobów, jakie Microsoft zmobilizował na potrzeby SFI – projektu, który jest niewątpliwie jednym z największych projektów cybernetycznych w historii, zatrudniającym równowartość 34 000 pełnoetatowych inżynierów.
„Nasza wspólna praca nad ciągłym zwiększaniem ochrony, eliminowaniem przestarzałych lub niezgodnych z przepisami zasobów i identyfikacją pozostałych systemów do monitorowania jest ostatecznym miernikiem naszego sukcesu” – powiedział.
„Patrząc w przyszłość, przez cały czas jesteśmy zaangażowani w ciągłe doskonalenie” — powiedział Bell. „SFI będzie przez cały czas ewoluować, dostosowując się do nowych zagrożeń i udoskonalając nasze praktyki bezpieczeństwa. Nasze zaangażowanie w przejrzystość i współpracę branżową pozostaje niezachwiane.
„Praca, którą wykonaliśmy do tej pory, to dopiero początek” – powiedział. „Wiemy, iż cyberzagrożenia będą się przez cały czas rozwijać, a my musimy ewoluować razem z nimi. Poprzez pielęgnowanie tej kultury ciągłego uczenia się i doskonalenia budujemy przyszłość, w której bezpieczeństwo nie jest tylko cechą, ale fundamentem”.
Sześć filarów
Podstawą Microsoft SFI jest sześć głównych filarów, przedstawionych w następujący sposób:
- Ochrona tożsamości i tajemnic przy użyciu najlepszych w swojej klasie standardów przygotowanych na technologie kwantowe;
- Ochrona i izolacja wszystkich dzierżawców i systemów produkcyjnych firmy Microsoft;
- Ochrona sieci produkcyjnych Microsoft i izolacja zasobów Microsoftu oraz klientów;
- Ochrona systemów inżynieryjnych obejmująca zasoby oprogramowania, bezpieczeństwo kodu i zarządzanie łańcuchem dostaw oprogramowania;
- Monitorowanie i wykrywanie zagrożeń, zapewniające kompleksową ochronę i automatyczne wykrywanie zagrożeń dla infrastruktury produkcyjnej Microsoft;
- Przyspieszenie reakcji i usuwania luk w zabezpieczeniach, skrócenie czasu usuwania skutków poważnych błędów oraz poprawa przejrzystości i przekazywania komunikatów publicznych.
W pierwszym z nich Bell zwrócił uwagę na aktualizacje wprowadzone w Microsoft Entra ID i koncie Microsoft dla chmur publicznych i rządowych, umożliwiające generowanie, przechowywanie i rotację kluczy podpisywania tokenów dostępu, a także na rosnącą adopcję standardowych zestawów narzędzi programistycznych do zarządzania tożsamością w celu zapewnienia spójnej walidacji tokenów, która obejmuje w tej chwili ponad 73% tokenów wydanych przez Entra ID w aplikacjach Microsoft.
W drugim przypadku Microsoft ukończył pełną iterację zarządzania cyklem życia aplikacji w całym swoim majątku dzierżawców produkcyjnych i produkcyjnych oraz wyeliminował 730 000 elementów oprogramowania, z których nikt już nie korzystał. Prawie sześć milionów nieaktywnych dzierżawców zostało również po cichu odrzuconych, co jeszcze bardziej zmniejszyło powierzchnię ataku. W międzyczasie wdrożono nowy system usprawniający konfigurację dzierżawców testowych i eksperymentalnych, z bezpiecznymi domyślnymi ustawieniami i ścisłymi kontrolami zarządzania czasem życia.
Po trzecie, ponad 99% zasobów fizycznych w sieci produkcyjnej Microsoftu jest teraz rejestrowanych w centralnym spisie, a sieci wirtualne, które wymagają łączności zaplecza, zostały odizolowane od sieci korporacyjnej Microsoftu i są teraz poddawane kompletnym przeglądom bezpieczeństwa, aby pomóc wyeliminować ruch boczny, gdyby ktoś tam się czaił, a nie powinien. Dla klientów Microsoft rozszerzył również możliwości platformy, takie jak reguły administracyjne, aby ułatwić izolację zasobów platformy jako usługi.
Przechodząc do czwartego filaru, ponad 85% procesów kompilacji produkcyjnych dla komercyjnej chmury Microsoftu korzysta w tej chwili z centralnie zarządzanych szablonów procesów, co powinno ułatwić wdrażanie i, co najważniejsze, zwiększyć jego niezawodność.
W międzyczasie żywotność Personal Access Tokens została skrócona do tygodnia, a dostęp SSH do wszystkich wewnętrznych repozytoriów inżynieryjnych Microsoft został wyłączony, podczas gdy liczba wymagana dla podniesionych ról w celu uzyskania dostępu do systemów inżynieryjnych została znacznie zmniejszona. Microsoft wdrożył również sprawdzanie dowodu obecności w różnych ważnych momentach w swoich przepływach rozwoju.
W piątym filarze, monitorowaniu i wykrywaniu zagrożeń, Microsoft stwierdził, iż poczynił „znaczny” postęp w egzekwowaniu standardowych bibliotek dla dzienników audytu bezpieczeństwa w całej swojej infrastrukturze produkcyjnej i usługach, aby emitować odpowiednie dane telemetryczne, podczas gdy okres przechowywania tych dzienników wynosi teraz co najmniej dwa lata. Stwierdził, iż ponad 99% wszystkich urządzeń sieciowych jest teraz włączonych z centralnym zbieraniem i przechowywaniem dzienników.
Na koniec, w kwestii odpowiedzi i naprawy, Microsoft poinformował, iż zaktualizował procesy, aby skrócić czas łagodzenia krytycznych luk w chmurze, a także zaczął publikować krytyczne luki w chmurze jako CVE, choćby jeżeli klienci tak naprawdę nie muszą nic robić. Utworzył również Biuro Zarządzania Bezpieczeństwem Klienta w celu obsługi wiadomości publicznych i zaangażowania.
Kultura bezpieczeństwa
Jednak Microsoft nie zamierza na tym poprzestać i dziś opublikował serię inicjatyw mających na celu poprawę bezpieczeństwa pracowników firmy i odpowiedniego reagowania na incydenty.
Wśród nich znalazło się powołanie Rady ds. Zarządzania Cyberbezpieczeństwem oraz mianowanie zastępców dyrektora ds. bezpieczeństwa informacji (CISO) do kluczowych funkcji cybernetycznych i działów inżynieryjnych. Na czele CISO stanie Igor Tsyganskiy, który przejmie odpowiedzialność za całościową postawę firmy Microsoft w zakresie ryzyka, obrony i zgodności z przepisami.
W dalszej perspektywie ujawniono również, iż każdy pracownik w całej organizacji będzie teraz zobowiązywać się i odpowiadać za spełnianie podstawowych wymagań cybernetycznych podczas ocen okresowych, a także wspierano ich w tym poprzez stworzenie wewnętrznego programu akademii umiejętności bezpieczeństwa.
Tymczasem kadra kierownicza wyższego szczebla otrzymała zadanie cotygodniowego przeglądu postępów SFI i przekazywania zarządowi aktualizacji co trzy miesiące, a poziom bezpieczeństwa jest teraz bezpośrednio powiązany z ich wynagrodzeniami.