В начале этого года Microsoft объявила, что безопасность станет приоритетом номер один для каждого сотрудника после многолетних проблем, связанных с безопасностью, и обнародования отчета от Совета по кибербезопасности США. Практически спустя шесть месяцев после того, как генеральный директор Microsoft Сатья Наделла подчеркнул важность безопасности, компания представила отчет о своем прогрессе.
В ноябре 2023 года Microsoft запустила инициативу Secure Future Initiative (SFI). Это произошло за несколько месяцев до того, как Совет по кибербезопасности США объявил, что «культура безопасности Microsoft была неудовлетворительной и требует пересмотра». Этот отчет стимулировал Microsoft на активные действия. Сегодня компания сообщает, что к SFI привлекли эквивалент 34 000 штатных инженеров, что сделало это крупнейшими усилиями в области кибербезопасности за всю историю Microsoft.
Сейчас каждый сотрудник Microsoft оценивается по вкладу в безопасность, после того как компания связала свои усилия по улучшению безопасности с оценками производительности сотрудников. В последние месяцы Microsoft завершила серию улучшений своих процессов безопасности в рамках SFI.
Компания обновила системы Entra ID и Microsoft Account (MSA), внедрив генерацию, хранение и автоматическую ротацию ключей подписи токенов доступа с использованием инструментов безопасности, управляемых Azure. 5,75 миллионов неактивных арендаторов также были удалены для сокращения поверхности атак. Microsoft также ввела новую систему тестирования с безопасными настройками по умолчанию.
Сейчас Microsoft отслеживает более 99 процентов своей физической сети с помощью единой системы инвентаризации, которая помогает с соблюдением требований к оборудованию и логированием. Компания также улучшила свои журналы аудита, сохраняя их не менее двух лет.
Инженерные команды Microsoft сократили срок действия личных токенов доступа до семи дней, отключили SSH-доступ ко всем внутренним репозиториям и уменьшили количество групп, имеющих доступ к ключевым инженерным системам.
Ранее Microsoft подвергалась критике за долгий ответ на проблемы безопасности, и теперь компания публикует CVE «даже если действия со стороны клиентов не требуются, для улучшения прозрачности.»
Преобразование инженерных процессов и культуры безопасности в компании с 100 000 инженеров, дизайнеров и менеджеров проектов, работающих над более чем 500 000 задач ежедневно и выполняющих 5 миллионов сборок каждый месяц, является сложной задачей.
Microsoft внедряет новые стандарты, используя подход «Начни правильно, оставайся правым и будь правым». «Начни правильно» гарантирует соблюдение стандартов безопасности с помощью шаблонов, политик и инструментов самообслуживания. «Оставайся правым» затем обеспечивает мониторинг проектов и реализацию актуальных политик. Последняя часть — «Будь правым», предназначена для мониторинга состояния соответствия.
Компания также создала новый Совет по управлению кибербезопасностью и назначила 13 заместителей CISO, четверо из которых — новые сотрудники Microsoft:
- Дэймон Бекнел, вице-президент и заместитель CISO, регулируемые отрасли: Бекнел присоединился к Microsoft в июле, ранее он работал в компании ID.me и Horizon Blue Cross Blue Shield.
- Джефф Белкнап, корпоративный вице-президент и заместитель CISO, основные и слияния и поглощения: Белкнап ранее занимал должность CISO в LinkedIn, принадлежащей Microsoft, а также был CISO в Slack и CSO в Palantir.
- Шон Боуэн, вице-президент и заместитель CISO, игры: Боуэн имеет 27 лет опыта в инженерии и безопасности, включая должность CISO в World Kinect и Корпусе морской пехоты США.
- Тимоти Ланган, корпоративный вице-президент и заместитель CISO, правительство: Ланган проработал более 26 лет в ФБР перед тем, как присоединиться к Microsoft в июле, занимаясь киберпреступлениями, криминальными расследованиями и другими операциями агентства.
Оставшиеся девять заместителей CISO — это опытные руководители Microsoft, среди которых технический эксперт Марк Руссинович, назначенный заместителем CISO для Azure, оставаясь главным техническим директором Azure. Старшая команда Microsoft теперь еженедельно пересматривает прогресс SFI и ежеквартально предоставляет обновления совету директоров компании.
В июле Microsoft запустила академию по обучению безопасности, включающую тренинги для всех сотрудников, чтобы подчеркнуть «важность безопасности в ежедневной работе». Это непрерывное обучение, оценка производительности и надзор старшего руководства компании усиливают внимание сотрудников к безопасности. Однако Microsoft еще предстоит долгий путь, чтобы возвратить доверие и оставить в прошлом заголовки, связанные с проблемами безопасности.
«Наша приверженность прозрачности и сотрудничеству с отраслью остается непоколебимой,» говорит Чарли Белл, глава отдела безопасности Microsoft. «Строя культуру непрерывного обучения и улучшения, мы создаем будущее, где безопасность не просто функция, а фундамент.»
Источник: TheVerge
