Microsoft podwaja swoje możliwości niedawno uruchomioną inicjatywę „Bezpieczna przyszłość”. (SFI), rozszerzając program – którego celem jest rozwiązanie problemów z oprogramowaniem i lukami w zabezpieczeniach często wykorzystywanymi przez podmioty zagrażające – w następstwie raportu Komisji Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) rządu Stanów Zjednoczonych podczas zeszłorocznej inwazji Storm-0558 I atak Midnight Blizzard (Cozy Bear) w styczniu 2024 r.
Redmond stwierdził, że szybka ewolucja krajobrazu zagrożeń uwypukliła powagę zagrożeń, przed którymi stoi zarówno jego własna działalność, jak i działania jego klientów, oraz przyznał, że biorąc pod uwagę jego kluczową rolę w światowym ekosystemie IT, ma „kluczową odpowiedzialność” zarobienia i utrzymać zaufanie.
„Bezpieczeństwo jest dla nas najwyższym priorytetem w Microsoft, ponad wszystko inne. Rozszerzamy zakres SFI, integrując najnowsze zalecenia CSRB a także wnioski wyciągnięte z Midnight Blizzard, aby zapewnić, że nasze podejście do bezpieczeństwa cybernetycznego pozostanie solidne i dostosuje się do zmieniającego się krajobrazu zagrożeń” – powiedział Charlie Bell, wiceprezes wykonawczy Microsoft Security.
„Zmobilizujemy rozszerzone filary i cele SFI w całej firmie Microsoft i będzie to wymiar przy naszych decyzjach o zatrudnieniu. Ponadto zaszczepimy w sobie odpowiedzialność, opierając część wynagrodzenia starszego zespołu kierowniczego firmy na naszych postępach w realizacji naszych planów i kamieni milowych w zakresie bezpieczeństwa” – powiedział.
SFI, jak początkowo zarysowano przez wiceprezesa i prezesa Microsoft Brada Smitha w listopadzie 2023 r. skupia się na trzech głównych filarach – opracowywaniu i ulepszaniu cyberobrony opartej na sztucznej inteligencji, doskonaleniu praktyk inżynierii oprogramowania oraz propagowaniu silniejszego stosowania międzynarodowych norm w cyberprzestrzeni.
W poście na blogu opisującym rozszerzenie SFIBell wyjaśnił, że podejście to będzie teraz ewoluować wraz z pracami ukierunkowanymi na trzy nowe zasady:
- Bezpieczeństwo już w fazie projektowania, będące głównym czynnikiem branym pod uwagę przy projektowaniu i opracowywaniu dowolnego produktu lub usługi firmy Microsoft;
- Domyślne bezpieczeństwo, z domyślnie włączonymi i egzekwowanymi zabezpieczeniami, które nie wymagają dodatkowego wysiłku od użytkowników, ale jednocześnie nie wymagają od nich rezygnacji;
- Bezpieczne operacje dzięki ciągłej poprawie kontroli i monitorowania, aby stawić czoła zmieniającym się zagrożeniom.
Ponadto Microsoft dopasuje teraz zestaw rozszerzonych celów i działań do sześciu priorytetowych filarów w następujący sposób:
- Ochrona tożsamości i tajemnic przy użyciu najlepszych w swojej klasie standardów kwantowych;
- Ochrona i izolacja wszystkich najemców i systemów produkcyjnych Microsoft;
- Ochrona sieci produkcyjnych Microsoft oraz izolacja zasobów Microsoft i klientów;
- Ochrona systemów inżynieryjnych, obejmująca zasoby oprogramowania, bezpieczeństwo kodu i zarządzanie łańcuchem dostaw oprogramowania;
- Monitorowanie i wykrywanie zagrożeń, zapewniające kompleksową ochronę i automatyczne wykrywanie zagrożeń dla infrastruktury produkcyjnej Microsoft;
- Przyspieszenie reakcji i naprawy luk w zabezpieczeniach, skrócenie czasu usuwania błędów o dużej wadze oraz poprawa komunikacji publicznej i przejrzystości.
„Cele te bezpośrednio pokrywają się z naszymi wnioskami wyciągniętymi z incydentu Midnight Blizzard, a także wszystkimi czterema zaleceniami CSRB dla Microsoft i wszystkimi 12 zaleceniami dla dostawców usług w chmurze (CSP) w obszarach kultury bezpieczeństwa, najlepszych praktyk w zakresie bezpieczeństwa cybernetycznego, audytowania norm rejestrowania, standardy i wytyczne dotyczące tożsamości cyfrowej oraz przejrzystość” – powiedział Bell.
„Realizujemy te cele poprzez nowy poziom koordynacji z nowym modelem operacyjnym, który dostosowuje liderów i zespoły do sześciu filarów SFI, aby całościowo zapewniać bezpieczeństwo i rozbijać tradycyjne silosy” – dodał.
Wewnętrznie Microsoft podejmuje również kroki w celu poprawy sposobu, w jaki jego pracownicy reagują jako zbiorowość, wdrażając nowe inicjatywy mające pomóc w operacjonalizacji wniosków wyciągniętych z incydentów oraz ustanawiając nowe ramy zarządzania nadzorowane przez CISO Igora Tsyganskiego, które wprowadzają partnerstwo między zespołami inżynieryjnymi a nowo utworzona grupa zastępców CISO i będzie wspierana przez pełen zakres istniejących aktorów narodowych firmy Microsoft i jej możliwości w zakresie wykrywania zagrożeń.
Planuje także zrobić więcej, aby zaszczepić kulturę stawiającą na pierwszym miejscu bezpieczeństwo, i będzie rozpoczynać cotygodniowe i comiesięczne spotkania operacyjne na szeroką skalę, w których uczestniczyć będzie kierownictwo wszystkich szczebli oraz osoby zaangażowane indywidualnie na wyższym szczeblu, pracujące nad szczegółową realizacją i ciągłym doskonaleniem bezpieczeństwa.
„Ostatecznie Microsoft opiera się na zaufaniu, a na to zaufanie trzeba zapracować i je utrzymać. Jako globalny dostawca oprogramowania, infrastruktury i usług w chmurze czujemy się głęboko odpowiedzialni za to, co w naszej mocy, aby zapewnić światu bezpieczeństwo. Naszą obietnicą jest ciągłe doskonalenie i dostosowywanie się do zmieniających się potrzeb w zakresie cyberbezpieczeństwa. To dla nas zadanie numer jeden” – powiedział Bell.
„Microsoft ma naprawdę ambitne cele w ramach swojej inicjatywy Secure Future. Większość organizacji nie ma ani woli, ani możliwości technicznych, aby osiągnąć te cele, ale każda organizacja, która je posiada, będzie w doskonałej pozycji, aby odeprzeć większość włamań” – powiedział Jake Williams, pracownik naukowy w firmie zajmującej się badaniami cybernetycznymi Badania IANS, i były haker NSA. „Microsoft z pewnością ma techniczne możliwości wdrożenia tych rozwiązań, ale zawsze tak było. Wygląda na to, że mają teraz także wolę polityczną, aby to zrobić.
„Istnieje wiele szczegółów na temat znaczących ulepszeń zabezpieczeń technicznych wprowadzanych przez firmę Microsoft. W większości z nich najtrudniejszą częścią jest osiągnięcie 100%. Wartość mniejsza niż 100% pozostawia szczątkową powierzchnię ataku, którą wykorzystają cyberprzestępcy. Wysiłki te są zgodne ze starą zasadą 80/20, zgodnie z którą większość wysiłków skupia się na włączeniu ostatnich przeciwników do nowego systemu bezpieczeństwa. To, co daje mi największą pewność, że Microsoft osiągnie to, to nacisk na to, aby inżynierowie starsi wiceprezes organizowali regularne spotkania operacyjne ze wszystkimi szczeblami kierownictwa i wyższymi specjalistami ds. współpracy. W ten sposób wzmacnia się zmianę kulturową i zapewnia jej trwałość” – stwierdził.