A vezetői fizetéseket is a biztonságtól teszi függővé a Microsoft
A redmondiak bekeményítenek az elmúlt évek kellemetlen biztonsági incidensei után, az új biztonsági alappillérek és irányelvek bevezetése mellett ösztönzőként a vezetők fizetéséhez is hozzányúlnának.
Biztonsági és adatvédelmi erőfeszítések terén nem festettek jó képet a Microsoftról az elmúlt év során történt incidensek: rosszul konfigurált végpontok, támadók által kihasznált biztonsági tanúsítványok és hozzáférések kockáztatták az érzékeny adatok nyilvánosságra hozatalát. Miután az Egyesült Államok Kiberbiztonsági Felülvizsgáló Testülete (Cyber Safety Review Board, CSRB) márciusi jelentésében úgy találta a jogsértések után, hogy a Microsoft biztonsági kultúrája inadekvát és finomításra szorul, a cég egy sor új előírással és alapelvvel állt elő. A CSRB szerint a vállalat megakadályozhatta volna a kormányzati fiókokat érintő tavalyi támadást, és a nem kellően erős intézkedések miatt a Microsoft felelőssége is a támadás sikeressége, amihez „biztonsági hibák sorozata” vezetett.
A redmondi cég tavaly novemberben jelentette be a Secure Future Initiative (SFI) kezdeményezést, miután kínai állami kiberbűnözők amerikai kormányzati szereplők e-mail fiókjaihoz szereztek hozzáférést a Microsoft felhőszolgáltatásának hibáját kihasználva. Néhány nappal a kezdeményezés bejelentése után pedig orosz hackereknek sikerült áttörniük a védelmet, és hozzáférni a Microsoft felsővezetői csapatának e-mail fiókjaihoz. A támadást közel két hónappal később, januárban sikerült felfedni, ugyanez a csoport még forráskódot is lopott.
Charlie Bell, a Microsoft biztonságért felelős ügyvezető alelnöke blogbejegyzésében részletezte, hogy a CSRB ajánlásai alapján kibővítik a kezdeményezést, az intézkedések érintik a felsővezetői csapat juttatási csomagjait is. A Microsoft részben attól teszi függővé a vezetők fizetését, hogy a vállalatnak sikerül-e „teljesíteni a biztonsági terveket és mérföldköveket”, bár az nincs részletezve, hogy hány vezetői fizetése, és egyáltalán milyen mértékben függ a célok elérésétől.
A Microsoft mérnöki vezetői heti és havi operatív értekezleteket vezette be, egyes termékcsoportok információbiztonsági igazgató-helyetteseket (CISO-helyetteseket) kapnak. A fenyegetések felderítésével foglalkozó csapatot áthelyezték, hogy közvetlenül a CISO-nak tegyen jelentést, így a mérnöki csapatok biztonságáért felelősségre vonhatók.
A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.
A cég három biztonsági alapelvet alkalmaz a jövőben, melyek már a termékek és szolgáltatások tervezési szakaszában előtérbe helyezik a biztonságot, emellett fókuszt kap az alapértelmezés szerint engedélyezett védelem, illetve a hatékonyság növelése a jelenlegi és jövőbeli fenyegetések monitorozásakor.
A hosszútávú célok a Microsoft által megfogalmazott hat biztonsági pilléren alapulnak, a munkákat hullámokban végzik a mérnöki csapatok az Azure Cloud, a Windows, a Microsoft 365 és a Security csapatokon belül, hetente pedig további termékcsapatok integrálódnak a folyamatba.
Erősítést kap az identitásvédelem, így a felhasználói fiókok többtényezős hitelesítéssel, az alkalmazások pedig felügyelt hitelesítő adatokkal, például tanúsítványokkal való védelmet kapnak. A Microsoft izolálni fogja a termelési rendszereket, hogy csak a felügyelt és biztonságos eszközök férhessenek hozzá a vállalat saját szolgáltatásaihoz. Az alkalmazások esetében a legkevesebb jogosultságot biztosító hozzáférési modellt (minimális hozzáférési szint vagy engedélyek) kívánják alkalmazni. A mérnökök a további védelmi rétegeket mikroszegmentálással tervezik kialakítani. A forráskódokhoz való hozzáférést minden esetben a Zero Trust és a legkevesebb jogosultságot biztosító hozzáférési szabályzat biztosítja.
A redmondi cég két évig megőrzi az összes biztonsági naplófájlt, hat hónapig bizonyos naplókat az ügyfelek rendelkezésére is bocsát. A cég próbálja felgyorsítani a biztonsági incidensek helyreállítási folyamatait, és csökkenteni annak esélyét, hogy javítatlan sebezhetőségeket használhassanak ki a rosszindulatú felek. A Common Weakness Enumeration (CWE) és a Common Platform Enumeration (CPE) iparági szabványok elfogadásával kötelezettséget vállal arra, hogy csökkenti a kritikus súlyosságú felhőbiztonsági sérülékenységek kijavításához szükséges időt, és növeli az átláthatóságot.