Aa Aa Aa

Microsoft розглядає безпеку як «найвищий пріоритет» після серії збоїв

Дмитро Сизов
Microsoft розглядає безпеку як «найвищий пріоритет» після серії збоїв

Майкрософт робить безпеку пріоритетом номер один для кожного співробітника після багатьох років проблем із безпекою та зростаючої критики. Після різкого звіту Ради з аналізу кібербезпеки США  нещодавно було зроблено висновок  , що «культура безпеки Microsoft була неадекватною та потребує перегляду», вона робить саме це, окреслюючи набір принципів безпеки та цілей, пов’язаних із компенсаційними пакетами для команди вищого керівництва Microsoft.

У листопаді минулого року Microsoft оголосила про Ініціативу безпечного майбутнього (SFI) у відповідь на посилення тиску на компанію щодо реагування на атаки, які дозволили китайським хакерам зламати облікові записи електронної пошти уряду США. Лише через кілька днів після оголошення цієї ініціативи російським хакерам вдалося зламати захист Microsoft і шпигувати за обліковими записами електронної пошти  деяких членів команди вищого керівництва Microsoft. Корпорація Майкрософт виявила атаку лише майже через два місяці, у січні, і та ж група  навіть викрала вихідний код .

Ці нещодавні атаки завдали шкоди, а звіт Ради з аналізу кібербезпеки нещодавно підлив масла в вогонь безпеки Microsoft, зробивши висновок, що компанія могла запобігти злому облікових записів електронної пошти уряду США у 2023 році та що до цього інциденту призвів «каскад збоїв у безпеці». .

«Ми робимо безпеку нашим головним пріоритетом у Microsoft, понад усе — над усіма іншими функціями», — пояснює Чарлі Белл, виконавчий віце-президент із безпеки Microsoft, у сьогоднішній публікації в блозі . «Ми запроваджуватимемо відповідальність, вираховуючи частину винагороди команди вищого керівництва компанії на основі нашого прогресу у виконанні наших планів безпеки та етапів».

Microsoft тепер має три принципи безпеки, які складають значну частину цих цілей: безпечний за дизайном; безпечно за замовчуванням; безпечні операції. Ці принципи спрямовані на те, щоб поставити безпеку на перше місце на етапах проектування продуктів і послуг, приділити більше уваги засобам захисту, які ввімкнено за замовчуванням, і покращити контроль і моніторинг поточних і майбутніх загроз.

Більш широкі цілі підкреслюються «шістьма пріоритетними стовпами безпеки», що корпоративно говорить про те, що Microsoft має значно покращити:

  1. Захищайте особисті дані та секрети . Корпорація Майкрософт обіцяє запровадити «найкращі у своєму класі стандарти» у своїй інфраструктурі ідентифікації та секретів, щоб 100 відсотків облікових записів користувачів були захищені за допомогою багатофакторної автентифікації, а 100 відсотків програм захищено керованими обліковими даними, такими як сертифікати.
  2. Захистіть орендарів та ізолюйте виробничі системи . Корпорація Майкрософт використовує такий підхід, щоб гарантувати, що лише здорові, керовані та безпечні пристрої отримають доступ до власного набору служб компанії разом із моделлю доступу з найменшими привілеями (мінімальний рівень доступу або дозволів) для 100 відсотків програм.
  3. Захистіть мережі . Корпорація Майкрософт обіцяє захистити 100 відсотків своїх виробничих мереж і систем, підключених до мереж, застосовуючи ізоляцію та мікросегментацію для всіх виробничих середовищ. Це має допомогти створити додаткові рівні захисту від зловмисників.
  4. Захист інженерних систем . Корпорація Майкрософт заявляє, що забезпечить доступ до свого вихідного коду 100 відсотків часу за допомогою політики нульової довіри та доступу з найменшими привілеями. Будь-який вихідний код, який розгортається у виробничих середовищах, також буде захищено найкращими методами безпеки, а тестові середовища також матимуть стандартизовану безпеку та ізоляцію інфраструктури.
  5. Моніторинг і виявлення загроз . Microsoft обіцяє зберігати 100 відсотків журналів безпеки протягом двох років і надати клієнтам шість місяців «відповідних журналів». Він також автоматично виявляє та «швидко» реагує на підозрілий доступ або зміни конфігурації на 100 відсотках виробничої інфраструктури та служб Microsoft.
  6. Прискорити реагування та виправлення . Мета тут полягає в тому, щоб запобігти використанню невиправлених уразливостей за допомогою більш «своєчасного виправлення». Корпорація Майкрософт зобов’язується скоротити час, необхідний для усунення «високої серйозності» вразливостей хмарної безпеки, і підвищити прозорість щодо цих проблем, прийнявши галузеві стандарти Common Weakness Enumeration (CWE) і Common Platform Enumeration (CPE).

Усі ці цілі пов’язані з певною винагородою керівництва Microsoft і є чіткою та прямою відповіддю на нещодавні російські хакерські вторгнення та рекомендації Ради з огляду кібербезпеки.

Зараз корпорація Майкрософт координує роботу своїх інженерних груп, щоб виконати цю роботу хвилями по всій компанії. «У цих інженерних хвилях беруть участь команди з Azure Cloud, Windows, Microsoft 365 і Security, а додаткові команди продуктів інтегруються в процес щотижня», — каже Белл.

Корпорація Майкрософт уже досягає успіхів у досягненні своїх амбітних цілей безпеки. Компанія за замовчуванням запровадила багатофакторність для більш ніж 1 мільйона своїх власних орендарів у Microsoft, включно з тими, які використовуються для розробки, тестування, демонстрацій і виробництва. Він також видалив 730 000 програм, які «вийшли з життєвого циклу або не відповідають поточним стандартам SFI».

Виробник програмного забезпечення також намагається покращити свою культуру безпеки після того, як Комісія з перевірки кібербезпеки назвала її «неадекватною». Керівництво інженерами Microsoft зараз проводить щотижневі та щомісячні оперативні наради, в яких беруть участь різноманітні керівники та старші особи, щоб покращити мислення Microsoft щодо безпеки в усій компанії.

Корпорація Майкрософт також додає заступників головного спеціаліста з інформаційної безпеки (CISO) до кожної команди продукту та переводить свою групу аналізу загроз для підпорядкування безпосередньо CISO. Це має означати, що інженерні групи несуть чітку відповідальність за безпеку.

Минулого місяця я повідомляв, що всередині Microsoft стурбовані тим, що нещодавні атаки на безпеку можуть серйозно підірвати довіру до компанії. «Зрештою, Microsoft працює на довірі, і цю довіру потрібно заслужити та підтримувати», — каже Белл. «Як глобальний постачальник програмного забезпечення, інфраструктури та хмарних послуг, ми відчуваємо глибоку відповідальність робити свій внесок у збереження безпеки та безпеки світу. Ми обіцяємо постійно вдосконалюватись і адаптуватися до змінних потреб кібербезпеки. Для нас це робота №1».