.
A Microsoft assumiu novos compromissos para fortalecer a segurança de seu software e serviços em nuvem, após um ano em que vários membros da comunidade global de segurança da informação criticaram as defesas tecnológicas da empresa.
Brad Smith, presidente da Microsoft, apontou desenvolvimentos tecnológicos significativos em toda a indústria como a razão para a mudança, incluindo a IA e as capacidades cada vez maiores dos criminosos de ransomware e das operações cibernéticas dos estados-nação.
“Nos últimos meses, concluímos dentro da Microsoft que a crescente velocidade, escala e sofisticação dos ataques cibernéticos exigem uma nova resposta”, disse ele. disse.
“Portanto, estamos lançando hoje em toda a empresa uma nova iniciativa para buscar nossa próxima geração de proteção de segurança cibernética – o que chamamos de nossa Iniciativa para o Futuro Seguro (SFI).”
O SFI é sustentado por três pilares principais. Resumindo, a Microsoft está apertando o grande botão da IA mais algumas vezes, incorporando mais profundamente a tecnologia em suas operações e produtos de segurança. Também está no horizonte uma atualização das suas práticas de engenharia de software, que novamente depende da IA.
A Microsoft tem estado na vanguarda do trem da campanha publicitária da IA este ano, e os executivos estão se recusando a descer. Smith apontou para a IA de praticamente tudo no portfólio de segurança da Microsoft até agora – desde novos produtos independentes até a profunda incorporação da tecnologia em suas ferramentas de detecção de ataques.
“A IA é uma virada de jogo”, disse ele. “Enquanto os agentes de ameaças procuram esconder as suas ameaças como uma agulha num vasto palheiro de dados, a IA torna cada vez mais possível encontrar a agulha certa, mesmo num mar de agulhas. IA para detectar ameaças a uma velocidade tão rápida quanto a própria Internet.”
O trem da IA também não para por aí. A empresa disse que suas práticas de engenharia de software serão reformuladas, citando novamente o cenário de ameaças em evolução, em vez dos problemas amplamente lamentados no código da empresa.
Um dos compromissos mais destacados que a Microsoft assumiu foi garantir que os princípios de segurança desde o design fossem respeitados no futuro, atendendo às numerosos chamadas feito pela CISA este ano para fazer exatamente isso.
A notícia será bem recebida pelos pesquisadores de segurança que foram informados de suas descobertas não será corrigido pela Microsoft porque não são vistos como vulnerabilidades genuínas ou não são considerados importantes o suficiente para merecer atenção imediata.
“Estou satisfeito em ver a Microsoft assumir um forte compromisso com os princípios de segurança por design”, disse Jen Easterly, diretora da CISA. disse via X. “Esperamos ver um progresso material neste esforço. É imperativo que os fabricantes de tecnologia assumam a responsabilidade pelos resultados de segurança de seus clientes.”
A análise segura de código será reforçada pela IA, disseram-nos, e um foco maior no uso do GitHub Copilot ao auditar e testar código também faz parte dos planos da empresa.
Estas medidas pretendem reforçar o que a Microsoft chama de próxima fase do seu Ciclo de Vida de Desenvolvimento de Segurança, cujos detalhes completos podem ser lidos no e-mail enviado à equipe de segurança da Microsoft por Charlie Bell, vice-presidente executivo de segurança da Microsoft.
A Microsoft também se comprometeu a reforçar as suas proteções de identidade, citando novamente o crescimento de ataques cibernéticos sofisticados, bem como o seu objetivo de reduzir para metade os tempos de resposta e mitigação da vulnerabilidade na nuvem.
O pilar final do SFI não tem realmente a ver com quaisquer ações que a Microsoft possa tomar internamente, pelo menos em qualquer sentido material. Referida como a “aplicação mais forte das normas internacionais”, Smith disse essencialmente que a empresa incentivará melhores práticas de segurança em toda a indústria.
Isso inclui ataques de malware “abomináveis” de estados-nação, em oposição, erm, à ampla recepção que receberam até agora. Ele os diferenciou dos ataques baseados em espionagem porque muitas vezes são concebidos de uma forma que pode ameaçar a segurança dos civis.
A Microsoft também promoverá melhores práticas no espaço de infraestrutura crítica, pressionando os governos para que também incluam a computação em nuvem sob este termo abrangente. Esses governos também deveriam fazer mais para impor a responsabilização daqueles que estão por trás dos ataques aos Estados-nação.
Segurança sob escrutínio
As críticas às práticas de segurança da Microsoft vieram de vários setores da indústria, desde especialistas em segurança da informação até Senado dos EUA.
Na segunda terça-feira de cada mês, os administradores de TI se preparam para uma corrida monstruosa para corrigir as inúmeras falhas nos produtos e serviços da Microsoft. Atualização de terça-feira completou 20 anos no mês passado e embora o agendamento consistente facilite a vida dos administradores, alguns criticaram o volume de correções que precisam ser aplicadas todos os meses.
Falando à Forbes, Shawn Henry, CSO da CrowdStrike, destacou que os produtos da Microsoft estão em toda parte, desde multinacionais líderes de mercado até governos de potências mundiais.
“Se o governo comprasse tanques que parassem no campo de batalha ou jatos que não pudessem decolar – e isso aconteceu mês após mês, ano após ano durante décadas – acho que haveria um problema. problema”, ele disse.
Os próprios pacotes de atualização da Microsoft também foram propensos a problemas no passado. Apenas no ano passado vimos servidores quebrando e telas azuis em grande quantidade – problemas que levaram alguns administradores a tomar a decisão arriscada de as atualizações podem ser completas e aguarde um lote mais estável no mês seguinte.
Os comentários de Henry vieram logo após uma briga muito pública entre a Microsoft e Amit Yoran, da loja de segurança Tenable, depois que o CEO classificou o tratamento dado pela Microsoft aos seus relatórios de vulnerabilidade como “grosseiramente irresponsável, se não flagrantemente negligente”.
E tudo isso segue o Departamento de Estado dos EUA perdendo 60.000 e-mails para ciberespiões chineses depois que o Outlook e o Exchange Online foram arrombado em julho.
Apesar dos problemas que a Microsoft enfrentou com segurança este ano, os especialistas que conversaram com Strong The One acolheu bem a notícia, aparentemente reconhecendo que é sempre provável que sejam encontradas falhas na tecnologia, especialmente quando uma empresa tem tantas linhas de código para manter.
Moreno Carullo, CTO da Nozomi Networks, disse que é “difícil dizer” se os compromissos da Microsoft irão longe o suficiente para proteger adequadamente seus produtos, mas acrescentou que “nunca é tarde para repensar a segurança”. ®
.
