A Microsoft acaba de divulgar o primeiro relatório que avalia o progresso da Secure Future Initiative (SFI), uma iniciativa criada em novembro de 2023 com o propósito de reforçar o compromisso da empresa na resposta contra a crescente escalada, velocidade e sofisticação de ciberataques. Desde o seu lançamento, a SFI conta com um total de 34 mil engenheiros a trabalhar a tempo inteiro para o projeto, tornando-o o maior esforço de engenharia de cibersegurança da história.
Um dos principais focos da Microsoft com esta iniciativa passa por fazer evoluir as práticas, políticas e estruturas de governance, ao mesmo tempo que incentiva cada colaborador a priorizar a segurança acima de tudo. Com base neste desígnio, a Microsoft anuncia agora a criação de um novo Cybersecurity Governance Council e a nomeação de Deputy Chief Information Security Officers (Deputy CISOs) para funções de segurança estratégicas e para todas as suas divisões de engenharia. Liderados pelo atual Chief Information Security Officer (CISO) da Microsoft, Igor Tsyganskiy, os Deputy CISOs serão responsáveis pela gestão dos ciber riscos, defesa e compliance.
A juntar a esta, a Microsoft implementou ao longo dos últimos 10 meses um conjunto de medidas que visam capacitar todos os níveis da organização a responder aos desafios de cibersegurança de acordo com os mais altos padrões de segurança. Ao nível da cultura interna, a empresa coloca agora a segurança como uma prioridade estratégica para todos os colaboradores de todas as geografias, passando esta a estar incluída nas avaliações de desempenho de cada um. No mesmo âmbito, a tecnológica lançou também a Security Skilling Academy, uma experiência de aprendizagem personalizada com formações específicas sobre segurança, disponível para qualquer colaborador a nível global, independentemente da função que desempenha.
Já ao nível de governance da organização, e para garantir responsabilidade e transparência ao mais alto nível, a equipa de liderança sénior da Microsoft irá passar a rever semanalmente o progresso da SFI e fornecer atualizações trimestrais ao Conselho de Administração da empresa.
A par destas medidas, a Microsoft destaca ainda os progressos alcançados no âmbito dos seis pilares-chave da Secure Future Initiative, cada um representativo de uma área crítica em cibersegurança e orientador do trabalho contínuo da empresa para elevar o padrão de segurança em toda a organização:
Proteger identidades e informação confidencial: A Microsoft concluiu um conjunto de atualizações para o Microsoft Entra ID e Microsoft Account (MSA) nas suas clouds públicas e governamentais nos EUA, com o objetivo de gerar, armazenar e alterar automaticamente as chaves de tokens de acesso através do serviço Azure Managed Hardware Security Module (HSM). Promoveu a adoção generalizada dos seus SDKs de identidade padrão, que proporcionam a validação consistente de tokens de segurança. Esta validação padrão cobre, neste momento, mais de 73% dos tokens emitidos pelo Microsoft Entra ID para aplicações propriedade da Microsoft. Expandiu ainda o registo padrão de tokens de segurança nos seus SDKs de identidade para apoiar a deteção e gestão de ameaças, e ativou estes recursos em diversos serviços críticos antes da adoção generalizada. Concluiu a imposição da utilização de credenciais resistentes ao phishing nos seus ambientes de produção e implementou a verificação por vídeo para 95% dos colaboradores internos nos ambientes de produtividade, eliminando assim a partilha de palavras-passe durante a configuração/recuperação.
Proteger inquilinos e isolar sistemas de produção: A empresa completou uma iteração completa de gestão do ciclo de vida de aplicações para todos os seus inquilinos de produção e produtividade, eliminando 730 mil aplicações não utilizadas. Foram eliminados 5.75 milhões de inquilinos inativos, reduzindo drasticamente o risco de ataque. Foi implementado um novo sistema para simplificar a criação de inquilinos de teste e experimentação, com predefinições seguras e gestão rigorosa do ciclo de vida. Nos últimos três meses, a tecnológica implementou mais de 15.000 novos dispositivos prontos para produção, bloqueados e seguros.
Proteger redes: Mais de 99% dos ativos físicos na rede de produção estão registados num sistema de inventário central, que enriquece o reportório de ativos com monitorização de conformidade de firmware e propriedade. As redes virtuais com conectividade de back-end estão isoladas da rede corporativa da Microsoft e sujeitas a revisões completas de segurança para reduzir o movimento lateral. Para ajudar os clientes a proteger as suas próprias implementações, a Microsoft expandiu as capacidades da plataforma, como Regras de Administrador, para facilitar o isolamento de rede de recursos de Platform as a Service (PaaS), como Storage, SQL, Cosmos DB e Key Vault.
Proteger sistemas de engenharia: 85% do pipeline de construção de produção para a cloud comercial da Microsoft estão a utilizar templates de pipeline geridos centralmente, o que torna as implementações mais consistentes, eficientes e confiáveis. Foi reduzido o tempo de vida dos Tokens de Acesso Pessoal para sete dias, desativado o acesso SSH para todos os repositórios de engenharia internos da Microsoft, e reduzido significativamente o número de funções elevadas com acesso a sistemas de engenharia. Também foram implementadas verificações de presença para pontos críticos no fluxo de código de desenvolvimento de software da empresa.
Monitorizar e detetar ameaças: A Microsoft fez progressos significativos para que toda a sua infraestrutura e serviços de produção adotem bibliotecas padrão para registos de auditoria de segurança, por forma a garantir que a telemetria relevante é emitida e que os registos são mantidos por um mínimo de dois anos. Por exemplo, estabeleceu a gestão central e um período de retenção de dois anos para registos de auditoria de segurança da infraestrutura de identidade, que abrange todos os eventos de auditoria de segurança ao longo do ciclo de vida das chaves de assinatura atuais. De forma semelhante, mais de 99% dos dispositivos de rede estão agora habilitados com recolha e retenção centralizada de registos de segurança.
Acelerar a resposta e correção: Foram atualizados processos em toda a Microsoft para melhorar o Tempo de Mitigação para vulnerabilidades críticas da cloud. Começou a publicar vulnerabilidades críticas da cloud como Vulnerabilidades e Exposições Comuns (CVEs), mesmo que não seja necessária uma ação por parte do cliente, para melhorar a transparência. Estabeleceu, por fim, o Customer Security Management Office (CSMO) para melhorar as mensagens públicas e o envolvimento dos clientes durante incidentes de segurança.
Compromisso com a segurança
A Microsoft tem um compromisso fundamental com o seu projeto Secure Future Initiative para alcançar o progresso consistente dos seus produtos e serviços. A SFI continuará a evoluir, adaptando-se a novas ameaças e ajustando as suas práticas de segurança da empresa.
O compromisso da Microsoft com a transparência e a colaboração com a indústria mantém-se inabalável. No início deste ano, a Microsoft juntou-se ao compromisso Secure by Design da Agência de Cibersegurança e Infraestrutura dos EUA (CISA), reforçando a sua dedicação em integrar a segurança em todos os aspetos dos seus produtos e serviços. A par disto, a empresa continuou a integrar recomendações do Cyber Safety Review Board (CSRB) para fortalecer a sua abordagem de cibersegurança e melhorar a resiliência.
Consulte o relatório completo aqui.