Atualização do progresso da Iniciativa Safe Future da Microsoft


Em novembro de 2023, introduzimos o Iniciativa Futuro Seguro (SFI) para promover a proteção de segurança cibernética para a Microsoft, nossos clientes e a indústria. Em maio de 2024, expandimos a iniciativa para focar em seis pilares de segurança principais, incorporando o suggestions da indústria e nossos próprios insights. Desde o iniciativa começoudedicamos o equivalente a 34.000 engenheiros em tempo integral ao SFI — tornando-o o maior esforço de engenharia de segurança cibernética da história. E agora, estamos compartilhando atualizações e marcos importantes do primeiro Relatório de Progresso do SFI.

Foco na segurança acima de tudo

Diagrama ilustrando os seis pilares da Microsoft Secure Future Initiative

Na Microsoft, reconhecemos nossa responsabilidade única em proteger o futuro de nossos clientes e da comunidade. Como resultado, cada indivíduo na Microsoft desempenha um papel elementary para “priorizar a segurança acima de tudo.” Fizemos um progresso significativo na promoção de uma cultura de segurança em primeiro lugar. Algumas das principais atualizações incluem:

  • Para melhorar a governação, anunciámos a criação de um novo Conselho de Governança de Segurança Cibernética e o nomeação de Vice-Diretores de Segurança da Informação (Deputy CISOs) para funções de segurança-chave e todas as divisões de engenharia. Liderados por nosso CISO Igor Tsyganskiy, os CISOs adjuntos formam o Cybersecurity Governance Council e são responsáveis ​​pelo risco cibernético geral, defesa e conformidade da empresa.
  • A segurança agora é uma prioridade central para todos os funcionários da Microsoft e será incluída em suas avaliações de desempenho. Isso capacitará cada funcionário e gerente a se comprometer com — e ser responsável por — priorizar a segurança, e uma maneira de codificarmos as contribuições de um funcionário para o SFI e celebrar o impacto.
  • Nós lançamos o Academia de Habilidades de Segurançauma experiência de aprendizado personalizada de treinamentos específicos de segurança e com curadoria para todos os funcionários no mundo todo. A academia garante que, não importa a função, os funcionários estejam equipados para priorizar a segurança em seu trabalho diário e identificar a parte direta que eles têm na proteção da Microsoft.
  • Para garantir a responsabilização e a transparência nos níveis mais altos, a equipe de liderança sênior da Microsoft analisa o progresso do SFI semanalmente e as atualizações são fornecidas ao Conselho de Administração da Microsoft trimestralmente. Além disso, a Microsoft a equipe de liderança sênior agora tem o desempenho de segurança diretamente vinculado à remuneração.

Destaques do pilar: Uma abordagem abrangente à segurança cibernética

Também fizemos progressos em nossos seis pilares principais, cada um representando uma área crítica de foco em segurança cibernética. Esses pilares orientam nosso trabalho contínuo para elevar o nível de segurança em toda a Microsoft e nos ajudam a atender às demandas em evolução do cenário de segurança. Estas são as atualizações mais recentes nessas áreas:

  1. Proteja identidades e segredos: Concluímos atualizações no Microsoft Entra ID e na Microsoft Account (MSA) para nossas nuvens públicas e do governo dos Estados Unidos para gerar, armazenar e girar automaticamente chaves de assinatura de token de acesso usando o serviço Azure Managed {Hardware} Safety Module (HSM). Continuamos a impulsionar a ampla adoção de nossos SDKs de identidade padrão, que fornecem validação consistente de tokens de segurança. Essa validação padronizada agora cobre mais de 73% dos tokens emitidos pelo Microsoft Entra ID para aplicativos de propriedade da Microsoft. Estendemos o registro de token de segurança padronizado em nossos SDKs de identidade padrão para oferecer suporte à busca e detecção de ameaças e habilitamos esses em vários serviços críticos antes da ampla adoção. Concluímos a aplicação do uso de credenciais resistentes a phishing em nossos ambientes de produção e implementamos a verificação de usuário baseada em vídeo para 95% dos usuários internos da Microsoft em nossos ambientes de produtividade para eliminar o compartilhamento de senhas durante a configuração e recuperação.
  1. Proteja os inquilinos e isole os sistemas de produção: Concluímos uma iteração completa do gerenciamento do ciclo de vida do aplicativo para todos os nossos inquilinos de produção e produtividade, eliminando 730.000 aplicativos não utilizados. Eliminamos 5,75 milhões de inquilinos inativos, reduzindo drasticamente a superfície potencial de ataque cibernético. Implementamos um novo sistema para agilizar a criação de inquilinos de teste e experimentação com padrões seguros e gerenciamento rigoroso de vida útil aplicado. Implantamos mais de 15.000 novos dispositivos bloqueados prontos para produção nos últimos três meses.
  1. Proteja redes: Mais de 99% dos ativos físicos na rede de produção são registrados em um sistema de inventário central, o que enriquece o inventário de ativos com rastreamento de conformidade de propriedade e firmware. Redes virtuais com conectividade de backend são isoladas da rede corporativa da Microsoft e sujeitas a revisões de segurança completas para reduzir o movimento lateral. Para ajudar os clientes a proteger suas próprias implantações, expandimos os recursos da plataforma, como Regras de Administração, para facilitar o isolamento da rede de recursos de Plataforma como Serviço (PaaS), como Azure Storage, SQL, Cosmos DB e Key Vault.
  1. Proteja os sistemas de engenharia: 85% dos nossos pipelines de construção de produção para a nuvem comercial agora estão usando modelos de pipeline governados centralmente, tornando as implantações mais consistentes, eficientes e confiáveis. Reduzimos a vida útil dos Tokens de Acesso Pessoal para sete dias, desabilitamos o acesso ao protocolo Safe Shell (SSH) para todos os repositórios de engenharia internos da Microsoft e reduzimos significativamente o número de funções elevadas com acesso a sistemas de engenharia. Também implementamos verificações de prova de presença para pontos de estrangulamento críticos em nosso fluxo de código de desenvolvimento de software program.
  1. Monitore e detecte ameaças: Fizemos um progresso significativo ao impor que toda a infraestrutura de produção e serviços da Microsoft adotem bibliotecas padrão para logs de auditoria de segurança, para garantir que a telemetria relevante seja emitida e retenha os logs por um mínimo de dois anos. Por exemplo, estabelecemos um gerenciamento central e um período de retenção de dois anos para logs de auditoria de segurança de infraestrutura de identidade, abrangendo todos os eventos de auditoria de segurança ao longo do ciclo de vida das chaves de assinatura atuais. Da mesma forma, mais de 99% dos dispositivos de rede agora estão habilitados com coleta e retenção de logs de segurança centralizados.
  1. Acelere a resposta e a correção: Atualizamos processos na Microsoft para melhorar o Time to Mitigate para vulnerabilidades críticas na nuvem. Começamos a publicar vulnerabilidades críticas na nuvem como vulnerabilidades e exposições comuns (CVEs), mesmo que nenhuma ação do cliente seja necessária, para melhorar a transparência. Estabelecemos o Buyer Safety Administration Workplace (CSMO) para melhorar as mensagens públicas e o envolvimento do cliente para incidentes de segurança.

Reafirmando nosso compromisso com a segurança

Em segurança, o progresso consistente é mais importante do que a “perfeição” e isso se reflete na escala de recursos mobilizados para atingir nossos objetivos de SFI. O trabalho coletivo que estamos fazendo para aumentar continuamente a proteção, eliminar ativos legados ou não compatíveis e identificar os sistemas restantes para monitoramento mede conclusivamente nosso sucesso. Ao olharmos para o futuro, continuamos comprometidos com a melhoria contínua. O SFI continuará a evoluir, adaptando-se a novas ameaças cibernéticas e refinando nossas práticas de segurança. Nosso compromisso com a transparência e a colaboração do setor permanece inabalável. No início de 2024, a Microsoft se tornou uma grande apoiadora da United States Cybersecurity and Infrastructure Safety Company (CISA) Seguro por Design promessa, reforçando nossa dedicação em incorporar segurança em todos os aspectos de nossos produtos e serviços. Além disso, continuamos a integrar recomendações do Cyber ​​Security Evaluate Board (CSRB) para fortalecer nossa abordagem de segurança cibernética e aumentar a resiliência.

O trabalho que fizemos até agora é apenas o começo. Sabemos que as ameaças cibernéticas continuarão a evoluir, e devemos evoluir com elas. Ao promover essa cultura de aprendizado e melhoria contínuos, estamos construindo um futuro em que a segurança não é apenas um recurso, mas uma base.

Desenvolvedor avaliando dados de aplicativos inteligentes criados no Azure no contexto de FinTech

Relatório de progresso do SFI

Descubra as principais atualizações e marcos do primeiro Relatório de Progresso do SFI.

Saiba mais

Para saber mais sobre as soluções de segurança da Microsoft e a Microsoft Iniciativa Futuro Segurovisite nossoweb site.Adicione aos favoritosWeblog de segurançapara acompanhar nossa cobertura especializada em assuntos de segurança. Siga-nos também no LinkedIn (Segurança da Microsoft) e X (@MSFTSegurança) para obter as últimas notícias e atualizações sobre segurança cibernética.



Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *