Инициатива Microsoft — «крупнейшее в истории начинание по кибербезопасности»

23 сентября компания Microsoft опубликовала отчет, в котором подробно описывается ход реализации инициативы «Безопасное будущее» — общекорпоративной реформы, начатой ​​в ноябре 2023 года. Инициатива «Безопасное будущее» направлена ​​на повышение безопасности в связи с рядом громких уязвимостей, обнаруженных в 2023 году.

Эти уязвимости включали взлом Microsoft Exchange Online, который позволил злоумышленникам, связанным с правительством Китая, получить доступ к электронной почте правительства США в 2023 году. В апреле 2024 года Совет по проверке кибербезопасности США опубликовал «Обзор вторжения в Microsoft Exchange Online летом 2023 года», в котором говорилось, что взлом «можно было предотвратить и он никогда не должен был произойти». Совет пришел к выводу, что у Microsoft «корпоративная культура, которая обесценивает как инвестиции в корпоративную безопасность, так и строгое управление рисками».

Как Microsoft защищается от киберугроз

В свете проблем кибербезопасности Microsoft ввела несколько изменений. В рамках инициативы генеральный директор Сатья Наделла и исполнительный вице-президент по безопасности Чарли Белл назначили 13 заместителей CISO. Их работа будет заключаться в надзоре за ключевыми функциями безопасности либо в одном из инженерных подразделений Microsoft, либо в рамках основополагающей функции безопасности, контролируемой CISO.

«Мы выделили на SFI эквивалент 34 000 штатных инженеров, что делает это крупнейшим проектом по обеспечению кибербезопасности в истории», — написал Белл.

Другие шаги, предпринятые Microsoft, включают:

Развертывание и действие на шести основных столпах соответствия требованиям безопасности. Создание нового Совета по управлению кибербезопасностью, ответственного за киберриски, защиту и соответствие требованиям, в состав которого входят новые директора по информационной безопасности. Сделать безопасность важнейшей частью оценки эффективности работы каждого сотрудника. Связать эффективность безопасности с компенсацией старшего руководства. Обязать старшее руководство оценивать прогресс в рамках инициативы «Безопасное будущее» каждую неделю и предоставлять обновленную информацию совету директоров каждый квартал. Внедрение обучения по безопасности по всей компании.

СМОТРИТЕ: Почему вашему бизнесу необходимо обучение по вопросам кибербезопасности (TechRepublic Premium)

Шесть основных принципов соблюдения требований безопасности Microsoft включают в себя:

Защита идентификационных данных и секретов. Это включает обновление Microsoft Entra ID и Microsoft Account (MSA) для государственных и правительственных облаков США, чтобы затруднить доступ к ключам подписи токенов. Ключи подписи позволили аффилированным с Китаем злоумышленникам взломать правительственные адреса электронной почты в прошлом году. Microsoft расширила принятие стандартных SDK идентификации, включила меры по предотвращению обмена паролями и многое другое. Защита арендаторов и изоляция производственных систем, устранение неиспользуемых приложений и неактивных арендаторов. Изоляция определенных виртуальных сетей и улучшение отслеживания соответствия прав собственности и прошивки физических активов. Улучшение управления инженерными системами. Внедрение стандартных библиотек для журналов аудита безопасности для лучшего мониторинга и обнаружения угроз. Ускоренное время устранения критических уязвимостей облака.

Чему организации могут научиться у инициативы «Безопасное будущее»

Обновление SFI служит своевременным напоминанием службам безопасности и инженерам о необходимости соблюдения строгих стандартов и соблюдения передовых отраслевых практик.

Обратите внимание, что Microsoft добавила безопасность в ядро ​​своих обзоров производительности. Четкие KPI, соответствующие общей корпоративной культуре, могут повлиять на направление организации.

Также важно осознать ценность быстрой адаптации к утечке данных. Размер и стратегическая важность контрактов Microsoft с правительством США сделали рассмотрение данных за 2023 год особенно критическим. Microsoft осторожно представила SFI как инициативу ради улучшения, а не как попытку компенсировать свои громкие утечки, но главная невысказанная цель проекта — заверить правительство США в том, что крупный взлом электронной почты больше не повторится.