Компания опубликовала отчет о ходе работы по обновлению своей внутренней культуры безопасности и управления.
23 сентября 2024 года Microsoft назначила группу заместителей директоров по информационной безопасности и предоставила обновленную информацию об инициативе компании «Безопасное будущее» в рамках более широкого пересмотра ее внутренних методов обеспечения безопасности. Джина Мун через Getty Images
Компания Microsoft заявила, что создала Совет по управлению кибербезопасностью в рамках более масштабной реструктуризации своей внутренней культуры безопасности после разгромного отчета Федерального совета по надзору за кибербезопасностью.
Совет возьмет на себя ответственность за текущее соответствие, реализацию нормативных требований и определение архитектуры, необходимой для достижения целей безопасности. Изменения в управлении были перечислены в отчете о ходе работы, опубликованном в понедельник, в котором показано, как Microsoft обновила свои методы обеспечения безопасности и повысила подотчетность с момента запуска инициативы Secure Future в ноябре.
В рамках этих усилий Microsoft назначила 13 заместителей директоров по информационной безопасности, каждый из которых будет отвечать за определенные сегменты продуктов в компании, включая Azure, Microsoft 365, ИИ и игры.
В соответствии с новой структурой команда высшего руководства компании еженедельно анализирует прогресс, достигнутый в рамках SFI, заявила Microsoft. В свою очередь, она будет предоставлять обновления совету директоров компании каждый квартал.
Microsoft также подробно рассказала о множестве внутренних изменений, направленных на снижение риска в ее облачных и производственных средах:
- Компания завершила обновления Microsoft Entra ID и Microsoft Account для публичных и правительственных облаков США для генерации, хранения и автоматической ротации ключей подписи токенов доступа.
- Компания устранила 730 000 неиспользуемых приложений в рамках управления жизненным циклом приложений для производственных и производительных арендаторов. Microsoft также заявила, что сократила поверхность атаки, устранив 5,75 млн неактивных арендаторов.
- Теперь Microsoft использует централизованно управляемый шаблон конвейера для запуска около 85% своих производственных конвейеров сборки для коммерческого облака, что поможет сделать развертывания более последовательными и надежными.
- Компания обновила процессы, чтобы сократить время устранения критических уязвимостей облака, включая публикацию их как CVE для повышения прозрачности.
Изменения в штате
Помимо изменений в управлении и производстве, Microsoft уделяет внимание навыкам своих сотрудников. Компания заявила, что в июле запустила Security Skilling Academy, которая предоставляет всем сотрудникам компании специальное обучение по безопасности.
Программа обучения появилась после разрушительного взлома летом 2023 года, когда связанная с Китаем группа угроз украла 60 000 писем из Госдепартамента США и взломала аккаунт министра торговли США Джины Раймондо.
В отчете CSRB взлом 2023 года назвали полностью предотвратимым и обвинили внутреннюю культуру Microsoft, которая отдавала приоритет скорости выхода на рынок над безопасностью и требовала срочных изменений.
Отдельная атака, раскрытая в январе связанной с государством Midnight Blizzard, использовала атаку с использованием распыления паролей для взлома электронных писем высших руководителей компании. Позже группа угроз использовала украденные учетные данные для атак на федеральные агентства.
В начале мая Microsoft объявила о планах реструктурировать многие из своих внутренних практик управления и внести другие изменения, рекомендованные в отчете CSRB. Среди этих изменений Microsoft также заявила, что частично свяжет компенсацию с безопасностью.
«Инициатива Microsoft Secure Future — это необходимая инициатива компании, которая несет ответственность за большинство уязвимостей нулевого дня в ИТ-индустрии», — сказал по электронной почте Том Ганн, главный специалист по государственной политике в Trellix. «Сосредоточение внимания на безопасности по проекту, безопасности по умолчанию и безопасности операций имеет смысл, поскольку Microsoft работает над тем, чтобы наконец сформировать корпоративную приверженность культуре безопасности».