.
A Microsoft deu uma volta da vitória hoje, elogiando os 34.000 engenheiros em tempo integral que dedicou à sua Secure Future Initiative (SFI) desde seu lançamento há quase um ano e tornando público seu primeiro relatório de progresso sobre os esforços para melhorar a segurança em seus produtos e serviços.
Como Registrar os leitores provavelmente se lembram de que o SFI foi lançado em novembro de 2023 após críticas generalizadas às falhas de segurança da Microsoft — a mais recente (na época) foi a de espiões chineses comprometendo dezenas de milhares de contas de e-mail hospedadas pela Microsoft pertencentes a funcionários do governo.
Isso foi antes de vir à tona que espiões do Kremlin invadiram a rede da Microsoft e roubaram o código-fonte por meio de uma conta que não tinha autenticação multifator (MFA) habilitada.
Em maio, a Microsoft reforçou a SFI depois que o relatório do Cyber Safety Review Board criticou Redmond por uma “cascata” de “erros evitáveis” que tornaram o ataque chinês possível, e o Congresso convocou o presidente da Microsoft, Brad Smith, para testemunhar sobre os erros.
Na época, o CEO Satya Nadella e o vice-presidente executivo de segurança da Microsoft, Charlie Bell, fizeram promessas públicas de “priorizar a segurança acima de tudo”. Isso incluía vincular o desempenho da segurança cibernética aos planos de remuneração dos executivos seniores e incluir a segurança como uma “prioridade central” nas avaliações de desempenho de todos os funcionários.
No relatório de hoje, a Microsoft confirmou que ambas as coisas aconteceram.
Infelizmente, ainda não temos detalhes sobre quais executivos receberam aumentos – ou foram prejudicados – pelos esforços e progressos de infosec da empresa. Não temos nem certeza de como isso será medido e, então, acabará nos contracheques dos líderes seniores. O Registro pediu à Microsoft mais detalhes sobre esta parte do plano, mas a Microsoft se recusou a comentar mais.
Embora não esperemos ver as avaliações dos funcionários publicadas para todos verem, também não está claro como construir transparência e responsabilidade em torno desse compromisso. “Estabelecer a segurança como uma prioridade central no Employee Connects acelera o progresso geral do SFI da Microsoft ao encorajar todos os funcionários a manter a segurança cibernética como um princípio orientador e contribuir de maneiras alinhadas por meio de suas próprias equipes”, disse um porta-voz O Registro.
O relatório de Redmond observou que, para dar suporte a esse esforço, lançou a Microsoft Security Academy em julho. Esta é uma “experiência de aprendizado personalizada de treinamentos específicos de segurança e com curadoria para todos os funcionários do mundo”, nos disseram.
Os seis “pilares” de engenharia do SFI, no entanto, são um pouco mais fáceis de medir. Aqui está como Redmond diz que está se saindo nessas áreas:
- Proteja identidades e segredos: o Microsoft Entra ID e a Microsoft Account (MSA) para nuvens públicas e do governo dos EUA agora gerarão, armazenarão e girarão automaticamente as chaves de assinatura de token de acesso usando o serviço Azure Managed Hardware Security Module (HSM). Além disso, os SDKs de identidade padrão da Redmond, usados para validar tokens de segurança, agora cobrem mais de 73% dos emitidos pelo Microsoft Entra ID para aplicativos de propriedade da Microsoft. Além disso, os ambientes de produção da Microsoft agora usam as chamadas credenciais “resistentes a phishing”, e 95% dos usuários internos foram configurados na verificação de usuário baseada em vídeo em ambientes de produtividade para garantir que não estejam compartilhando senhas.
- Proteja os inquilinos e isole os sistemas de produção: a Microsoft eliminou 730.000 aplicativos não utilizados e eliminou 5,75 milhões de inquilinos inativos. Ela também afirma ter “implantado mais de 15.000 novos dispositivos bloqueados prontos para produção nos últimos três meses”.
- Proteja redes: Redmond diz que registrou mais de 99% dos ativos físicos na rede de produção em um sistema de inventário central e isolou redes virtuais com conectividade de back-end da rede corporativa.
- Proteja os sistemas de engenharia: fomos informados de que 85% dos pipelines de construção de produção da Microsoft para sua nuvem comercial agora usam modelos de pipeline governados centralmente.
- Monitore e detecte ameaças: “Progresso significativo” foi feito para adotar bibliotecas padrão para logs de auditoria de segurança em todos os ambientes de produção. Isso inclui gerenciamento central e um período de retenção de log de dois anos. Mais de 99 por cento dos dispositivos de rede agora têm coleta e retenção de log de segurança centralizadas.
- Acelere a resposta e a correção: a Microsoft diz que atualizou processos que melhoraram o tempo de mitigação para vulnerabilidades críticas na nuvem e criou um Customer Security Management Office (CSMO) para engajamento do cliente durante incidentes de segurança. Além disso, “começamos a publicar vulnerabilidades críticas na nuvem como vulnerabilidades e exposições comuns (CVEs), mesmo que nenhuma ação do cliente seja necessária, para melhorar a transparência”, Redmond alardeou, embora imaginemos que alguns caçadores de bugs possam ver espaço para melhorias em torno de CVEs e transparência.
Há também uma parte de “Governança” sob o SFI. Como parte disso, Redmond criou um novo Conselho de Governança de Segurança Cibernética e nomeou 13 vice-diretores de Segurança da Informação (vice-CISOs) responsáveis por liderar o SFI em toda a empresa. Eles também atualizam o conselho de diretores trimestralmente sobre o progresso em direção a essas metas.
Esses 13 CISOs adjuntos são:
- Damon Becknel, vice-presidente e CISO adjunto, Regulated Industries
- Geoff Belknap, vice-presidente corporativo e vice-CISO, Core e fusões e aquisições
- Shawn Bowen, vice-presidente e CISO adjunto, jogos
- Terrell Cox, vice-presidente e CISO adjunto, Divisão de Produtos de Segurança da Microsoft
- Vanessa Feliberti Bautista, vice-presidente corporativa e vice-CISO, Microsoft 365
- Ann Johnson, vice-presidente corporativa e vice-CISO, Customer Security Management Office
- Naresh Kannan, membro técnico e vice-CISO, Experiências e Dispositivos
- John Lambert, CISO adjunto, Cenário de ameaças
- Timothy Langan, vice-presidente corporativo e vice-CISO, governo
- Mark Russinovich, Technical Fellow, Azure CTO e Vice-CISO do Azure
- Igor Sakhnov, vice-presidente corporativo e vice-CISO, Identity
- Kumar Srinivasamurthy, GM de Fundamentos da WebXT e CISO Adjunto, Consumer
- Yonatan Zunger, vice-presidente corporativo e vice-CISO, Inteligência Artificial
Bell elogiou hoje o comprometimento da Microsoft em atingir seus objetivos de SFI e disse que “o trabalho que fizemos até agora é apenas o começo”.
“Sabemos que as ameaças cibernéticas continuarão a evoluir, e devemos evoluir com elas”, ele continuou. Não poderíamos concordar mais. Porque palavras e iniciativas de segurança são legais, mas o verdadeiro teste será ver como a Microsoft lidará com a próxima vez que a Rússia, a China ou outra pessoa tentar invadir as caixas de entrada de e-mail dos clientes ou o ambiente interno de Redmond.
Pela natureza de seu tamanho e escopo, a Microsoft tem um alvo enorme nas costas, tanto para nações adversárias quanto para criminosos cibernéticos motivados financeiramente.
Se a Microsoft não puder proteger os clientes dessas ameaças, que, como Bell corretamente observa, estão em constante evolução, então todas essas palavras são inúteis. Vamos ver as ações para apoiá-las. ®
.
