مایکروسافت از رویکرد امنیت سایبری جدید خود رونمایی کرد
مایکروسافت با انتشار سندی موسوم به آیندهی امن، از رویکرد امنیت سایبری جدید خود رونمایی کرد.
مایکروسافت پس از سالها مسائل امنیتی و دریافت گزارشی تند از هیئت بررسی امنیت سایبری ایالات متحده، در اوایل امسال امنیت را بهعنوان اولویت شمارهیک برای هر کارمند خود تعیین کرد. اکنون، تقریباً 6 ماه پس از آنکه ساتیا نادلا، مدیرعامل مایکروسافت، به همهی کارمندانش گفت که امنیت باید در اولویت قرار گیرد، این غول نرمافزاری گزارشی از پیشرفت خود ارائه کرده است.
ردموندیها ابتکار آیندهی امن (SFI) خود را در نوامبر 2023 آغاز کردند؛ چند ماه قبل از آنکه هیئت بررسی امنیت سایبری ایالات متحده به این نتیجه برسد که «فرهنگ امنیتی مایکروسافت ناکافی است و به بازنگری نیاز دارد». این بررسی تند واقعاً مایکروسافت را تکاپو انداخت و امروز اعلام کرد که 34 هزار مهندس بهصورت تماموقت در حال کار روی SFI هستند که بزرگترین تحول امنیتی در تاریخ مایکروسافت محسوب میشود.
حدود یک ماه پیش، مایکروسافت تلاشهای امنیتی خود را به ارزیابی عملکرد کارکنان مرتبط کرد. اکنون هر کارمند این شرکت براساس عملکرد امنیتیاش قضاوت میشود. در ماههای اخیر، مایکروسافت مجموعهای از بهبودها در فرایندهای امنیتی خود را بهعنوان نتیجهی SFI به پایان رسانده است.
مایکروسافت اکنون بیش از 99 درصد شبکهی زیرساخت خود را از طریق یک سیستم مرکزی ردیابی میکند که به سازگاری و ثبت فرمور کمک میکند. مایکروسافت همچنین لاگهای حسابرسی خود را بهبود داده است تا حداقل برای دو سال نگهداری شوند.
تیمهای مهندسی درون مایکروسافت اکنون دسترسی توکنهای شخصی خود را به فقط هفت روز کاهش دادهاند، دسترسی SSH (از راه دور) برای تمامی مخازن مهندسی داخلی غیرفعال شده و تعداد گروهها با سطح دسترسی به سیستمهای کلیدی کاهش یافته است.
مایکروسافت در گذشته بهخاطر مدتزمانی که برای پاسخ به مسائل امنیتی نیاز داشت، مورد انتقاد قرار میگرفت و اکنون این شرکت CVE-ها (آسیبپذیریهای امنیتی) را حتی اگر هیچ اقدامی از سمت مشتری مورد نیاز نباشد، منتشر میکند تا شفافیت را افزایش دهد.
تبدیل فرایندهای مهندسی و فرهنگ امنیتی مایکروسافت کار آسانی نیست، بهویژه هنگامی که این شرکت صد هزار مهندس، طراح و مدیر پروژه دارد که هر روز بر بیش از پانصد هزار آیتم کاری تمرکز میکنند.
مایکروسافت با استفاده از رویکرد «درست شروع کنید، درست بمانید و درست انجام دهید» استانداردهای جدیدی را اجرایی میکند. «شروع درست» یعنی پروژهها به استانداردهای امنیتی و سیاستها پایبند باشند. «درست بمانید» اطمینان میدهد که نظارت بر پروژهها انجام میشود و «درست انجام دهید» طراحی شده است تا وضعیت سازگاری مایکروسافت را رصد کند.
مایکروسافت شورای جدیدی برای حاکمیت سایبری ایجاد و 13 معاون CISO (کارشناس ارشد امنیت داده) را در آن منصوب کرده است که چهار نفر از آنها استخدامهای جدید و 9 نفر دیگر از مدیران باتجربهی مایکروسافت هستند.
مایکروسافت در ژانویهی 2024 (دی و بهمن 1402) آکادمی آموزش امنیت سایبری راهاندازی کرد که اهمیت امنیت در کارهای روزمره را به تمام کارکنان یاد میدهد. این آموزشهای مداوم، ارزیابیهای عملکرد و نظارت بر تیم رهبری ارشد مایکروسافت قطعاً فشار بیشتری به کارکنان وارد میکند تا بیش از هر زمان دیگری بر امنیت تمرکز کنند.