Największa w historii Microsoftu transformacja bezpieczeństwa opisana w nowym raporcie


Microsoft uczynił bezpieczeństwo priorytetem numer jeden dla każdego pracownika wcześniej w tym rokupo latach problemów z bezpieczeństwem i miażdżącym raporcie US Cyber ​​Safety Review Board. Prawie sześć miesięcy po tym, jak CEO Microsoftu Satya Nadella powiedziałem całej firmie że bezpieczeństwo powinno być priorytetem ponad wszystko inne, twierdzi gigant oprogramowania sporządzenie raportu o jego postępach.

Firma Microsoft po raz pierwszy rozpoczęła realizację inicjatywy Secure Future Initiative (SFI) w listopadzie 2023 r., zaledwie kilka miesięcy przed amerykańską Radą ds. Przeglądu Bezpieczeństwa Cybernetycznego Zakończono że „kultura bezpieczeństwa Microsoftu była niewystarczająca i wymaga gruntownego remontu”. Ta miażdżąca recenzja naprawdę wprawiła Microsoft w ruch, a firma ujawnia dziś, że obecnie zatrudnia równowartość 34 000 pełnoetatowych inżynierów pracujących nad SFI, co czyni ją największym przedsięwzięciem inżynieryjnym w dziedzinie cyberbezpieczeństwa w historii Microsoftu.

Każdy pracownik Microsoftu jest teraz oceniany na podstawie swojej pracy nad bezpieczeństwem, po tym jak firma powiązał swoje wysiłki na rzecz bezpieczeństwa do oceny wyników pracowników w zeszłym miesiącu. W ostatnich miesiącach Microsoft również ukończył serię usprawnień swoich procesów bezpieczeństwa w wyniku SFI.

Firma Microsoft zaktualizowała swoje systemy Entra ID i Microsoft Account (MSA), aby generować, przechowywać i automatycznie obracać klucze podpisywania tokenów dostępu przy użyciu zarządzanego przez platformę Azure modułu zabezpieczeń sprzętowych. Wyeliminowano również 5,75 miliona nieaktywnych dzierżawców, aby zmniejszyć powierzchnie ataków. Firma Microsoft używa teraz również nowego systemu do testowania, który ma bezpieczne ustawienia domyślne, aby uniknąć problemów z bezpieczeństwem starszych systemów w przyszłości.

Microsoft śledzi teraz ponad 99 procent swojej sieci fizycznej w centralnym systemie inwentaryzacji, który pomaga w zgodności oprogramowania sprzętowego i rejestrowaniu. Microsoft ulepszył również swoje dzienniki audytu, aby przechowywać dzienniki przez co najmniej dwa lata.

Zespołom inżynierów firmy Microsoft ograniczono liczbę osobistych tokenów dostępowych do zaledwie siedmiu dni, wyłączono dostęp SSH dla wszystkich wewnętrznych repozytoriów inżynieryjnych, a także zmniejszono liczbę osób mających dostęp do kluczowych systemów inżynieryjnych.

Reklama

W przeszłości firma Microsoft była krytykowana za czas potrzebny na reakcję na problemy z bezpieczeństwem. Teraz firma publikuje CVE, „nawet jeśli nie wymaga to żadnych działań ze strony klienta, w celu zwiększenia przejrzystości”.

Transformacja procesów inżynieryjnych i kultury bezpieczeństwa firmy Microsoft nie jest łatwym zadaniem, szczególnie biorąc pod uwagę, że w firmie pracuje 100 000 inżynierów, projektantów i kierowników projektów, którzy każdego dnia pracują nad ponad 500 000 zadań i 5 milionami kompilacji miesięcznie.

Microsoft wdraża nowe standardy, stosując podejście „Start Right, Stay Right i Get Right”. „Start Right” zapewnia zgodność projektów ze standardami bezpieczeństwa za pomocą szablonów, zasad i narzędzi samoobsługowych. Następnie „Stay Right” zapewnia monitorowanie projektów i odpowiednie egzekwowanie zasad. Ostatnia część to „Get Right”, która jest przeznaczona dla Microsoftu do monitorowania stanu zgodności.

Gigant oprogramowania powołał również nową Radę ds. Zarządzania Cyberbezpieczeństwem i mianował 13 zastępców CISO, z których czterech to nowi pracownicy firmy Microsoft:

  • Damon Becknel, wiceprezes i zastępca CISO, branże regulowane: Becknel dołączył do Microsoftu w lipcu, wcześniej pełniąc funkcję CISO w ID.me i Horizon Blue Cross Blue Shield.
  • Geoff Belknap, wiceprezes korporacyjny i zastępca CISO, dział podstawowy oraz fuzje i przejęcia: Belknap wcześniej pełnił funkcję CISO w należącej do Microsoftu firmie LinkedIn, a wcześniej był CISO w firmie Slack i CSO w firmie Palantir.
  • Shawn Bowen, wiceprezes i zastępca CISO, gry: Bowen spędził 27 lat na stanowiskach związanych z inżynierią i bezpieczeństwem, pełniąc m.in. funkcję CISO w World Kinect oraz w wywiadzie Korpusu Piechoty Morskiej Stanów Zjednoczonych.
  • Timothy Langan, wiceprezes korporacyjny i zastępca CISO, rząd: Langan spędził ponad 26 lat w FBI, zanim w lipcu dołączył do Microsoftu, gdzie zajmował się cyberprzestępczością, dochodzeniami kryminalnymi i innymi operacjami w amerykańskiej agencji.

Pozostałych dziewięciu zastępców CISO to różnorodni doświadczeni dyrektorzy Microsoft, którzy mają dziesięciolecia doświadczenia w firmie, w tym pracownik techniczny Mark Russinovich, który został mianowany zastępcą CISO dla Azure, obok swojej obecnej roli Azure CTO. Starszy zespół kierowniczy Microsoftu dokonuje obecnie przeglądu postępów SFI co tydzień i kwartalnie przekazuje aktualizacje zarządowi Microsoftu na temat postępów.

Wreszcie, w lipcu Microsoft uruchomił akademię umiejętności bezpieczeństwa, która obejmuje szkolenia dla wszystkich pracowników, aby wzmocnić „znaczenie bezpieczeństwa w codziennych operacjach”. To ciągłe szkolenie, oceny wyników i nadzór nad starszym zespołem kierowniczym Microsoft z pewnością wywierają presję na pracowników, aby bardziej niż kiedykolwiek wcześniej skupiali się na bezpieczeństwie, ale Microsoft wciąż jest na długiej drodze do odzyskiwanie zaufania i odłożenie na bok nagłówków dotyczących bezpieczeństwa.

„Nasze zaangażowanie na rzecz przejrzystości i współpracy z branżą pozostaje niezachwiane” mówi Charlie Bellszef bezpieczeństwa Microsoft. „Wspierając tę ​​kulturę ciągłego uczenia się i doskonalenia, budujemy przyszłość, w której bezpieczeństwo nie jest tylko funkcją, ale fundamentem”.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

M4 MacBook Pro: cztery rzeczy, których można się spodziewać po kolejnym laptopie Apple Pro

Oczekuje się, że Apple zorganizuje kolejny Wydarzenie Apple pod koniec tego miesiącaz potencjalnymi aktualizacjami dla różnych modeli komputerów Mac i iPadów. Jedną z...

Zwiastuny tygodnia: Nosferatu, Franczyza i Squid Game 2

Czy to czujesz? W powietrzu czuć lekki chłód, słońce chowa się wcześniej i liście zaczynają się zmieniać (przynajmniej w moim mieście na Środkowym...

Najlepsze horrory dla mięczaków grozy

Październik to straszny sezon, a chęć zadomowienia się przy świecach pachnących dynią i sezonowo pasującej grze jest najwyższa w historii. Ale chociaż istnieje...
Advertisment