.
A Microsoft está fazendo da segurança sua prioridade número um para todos os funcionários, após anos de problemas de segurança e críticas crescentes. Depois que um relatório contundente do Conselho de Revisão de Segurança Cibernética dos EUA concluiu recentemente que “a cultura de segurança da Microsoft era inadequada e requer uma revisão”, está fazendo exatamente isso, delineando um conjunto de princípios e metas de segurança que estão vinculados a pacotes de remuneração para a equipe de liderança sênior da Microsoft. .
Em novembro passado, a Microsoft anunciou uma Secure Future Initiative (SFI) em resposta à crescente pressão sobre a empresa para responder a ataques que permitiram que hackers chineses violassem contas de e-mail do governo dos EUA. Poucos dias depois de anunciar esta iniciativa, os hackers russos conseguiram violar as defesas da Microsoft e espionar as contas de e-mail de alguns membros da equipa de liderança sénior da Microsoft. A Microsoft só descobriu o ataque quase dois meses depois, em janeiro, e o mesmo grupo chegou a roubar o código-fonte.
Esses ataques recentes foram prejudiciais, e o relatório do Conselho de Revisão de Segurança Cibernética adicionou combustível ao fogo de segurança da Microsoft recentemente ao concluir que a empresa poderia ter evitado a violação de contas de e-mail do governo dos EUA em 2023 e que uma “cascata de falhas de segurança” levou a esse incidente .
“Estamos tornando a segurança nossa principal prioridade na Microsoft, acima de tudo – acima de todos os outros recursos”, explica Charlie Bell, vice-presidente executivo de segurança da Microsoft, em uma postagem no blog hoje. “Incutiremos responsabilidade baseando parte da remuneração da equipe de liderança sênior da empresa em nosso progresso no cumprimento de nossos planos e marcos de segurança.”
A Microsoft tem agora três princípios de segurança que constituem uma grande parte destes objectivos: segurança desde a concepção; seguro por padrão; operações seguras. Estes princípios foram concebidos para colocar a segurança em primeiro lugar durante as fases de concepção de produtos e serviços, colocar um foco maior nas protecções que são activadas por defeito e melhorar os controlos e a monitorização de ameaças actuais e futuras.
Os objetivos mais amplos são sublinhados por “seis pilares de segurança priorizados”, que é um termo corporativo para coisas que a Microsoft precisa melhorar muito:
- Proteja identidades e segredos. A Microsoft promete implementar “os melhores padrões da categoria” em sua infraestrutura de identidade e segredos para que 100% das contas de usuários sejam protegidas por meio de autenticação multifator e 100% dos aplicativos sejam protegidos por credenciais gerenciadas, como certificados.
- Proteja os inquilinos e isole os sistemas de produção. A Microsoft está adotando uma abordagem aqui para garantir que apenas dispositivos íntegros, gerenciados e seguros tenham acesso ao conjunto de serviços da própria empresa, juntamente com um modelo de acesso com privilégios mínimos (os níveis mínimos de acesso ou permissões) para 100% dos aplicativos.
- Proteja redes. A Microsoft promete proteger 100% de suas redes e sistemas de produção conectados a redes, aplicando isolamento e microssegmentação a todos os ambientes de produção. Isto deve ajudar a criar camadas adicionais de defesa contra invasores.
- Proteja sistemas de engenharia. A Microsoft afirma que protegerá o acesso ao seu código-fonte 100% do tempo por meio de Zero Trust e políticas de acesso com privilégios mínimos. Qualquer código-fonte implantado em ambientes de produção também será protegido pelas práticas recomendadas de segurança, e os ambientes de teste também terão segurança padronizada e isolamento de infraestrutura.
- Monitore e detecte ameaças. A Microsoft promete reter 100% dos logs de segurança por dois anos e disponibilizar seis meses de “logs apropriados” aos clientes. Ele também detectará automaticamente e responderá “rapidamente” a acessos suspeitos ou alterações de configuração em 100% da infraestrutura e serviços de produção da Microsoft.
- Acelere a resposta e a correção. O objetivo aqui é evitar que vulnerabilidades não corrigidas sejam exploradas com uma “correção mais oportuna”. A Microsoft está se comprometendo a reduzir o tempo necessário para corrigir vulnerabilidades de segurança na nuvem de “alta gravidade” e aumentar a transparência em torno dessas questões, adotando os padrões da indústria Common Weakness Enumeration (CWE) e Common Platform Enumeration (CPE).
Todos esses objetivos estão vinculados a algumas das remunerações da liderança da Microsoft e são uma resposta clara e direta às recentes invasões de hackers russos e às recomendações do Conselho de Revisão de Segurança Cibernética.
A Microsoft está agora coordenando suas equipes de engenharia para concluir esse trabalho em etapas por toda a empresa. “Essas ondas de engenharia envolvem equipes do Azure Cloud, Windows, Microsoft 365 e Segurança, com equipes de produtos adicionais integradas semanalmente no processo”, diz Bell.
A Microsoft já está a fazer progressos em direção aos seus ambiciosos objetivos de segurança. A empresa implementou multifator por padrão em mais de 1 milhão de seus próprios locatários na Microsoft, incluindo aqueles usados para desenvolvimento, testes, demonstrações e produção. Até agora, também removeu 730.000 aplicativos que “estavam fora do ciclo de vida ou não atendiam aos padrões SFI atuais”.
A fabricante de software também está tentando melhorar sua cultura de segurança depois que ela foi considerada “inadequada” pelo Conselho de Revisão de Segurança Cibernética. Os líderes de engenharia da Microsoft estão agora realizando reuniões operacionais semanais e mensais que incluem uma variedade de gestores e indivíduos seniores, com o objetivo de melhorar o pensamento de segurança da Microsoft em toda a empresa.
A Microsoft também está adicionando diretores adjuntos de segurança da informação (CISOs) a cada equipe de produto e transferindo sua equipe de inteligência de ameaças para se reportar diretamente ao CISO. Isso deve significar que há uma responsabilidade clara pela segurança nas equipes de engenharia.
Relatei no mês passado que dentro da Microsoft existe a preocupação de que os recentes ataques à segurança possam minar seriamente a confiança na empresa. “Em última análise, a Microsoft funciona com base na confiança e essa confiança deve ser conquistada e mantida”, afirma Bell. “Como fornecedor global de software, infraestrutura e serviços em nuvem, sentimos uma profunda responsabilidade de fazer a nossa parte para manter o mundo seguro e protegido. Nossa promessa é melhorar continuamente e nos adaptar às crescentes necessidades de segurança cibernética. Este é o trabalho número 1 para nós.”
.
