Em novembro passado, lançamos a Iniciativa para um Futuro Seguro (SFI, na sigla em inglês). O objetivo é nos prepararmos para o aumento em risco e escala dos ataques cibernéticos. A SFI reúne todas as áreas da Microsoft para promover a proteção da segurança cibernética em nossa empresa e em nossos produtos.
Desde então, o cenário de ameaças continuou a evoluir rapidamente e aprendemos muito nessa evolução. As recentes descobertas do Conselho de Revisão de Segurança Cibernética (CSRB, na sigla em inglês) do Departamento de Segurança Interna sobre o ataque cibernético Storm-0558 de julho de 2023 e o ataque Midnight Blizzard que relatamos em janeiro ressaltam a gravidade das ameaças que nossa empresa e nossos clientes enfrentam.
A Microsoft desempenha um papel central no ecossistema digital mundial e isso acarreta uma grande responsabilidade de ganhar e manter a confiança. Devemos e faremos mais.
Estamos tornando a segurança nossa principal prioridade na Microsoft, acima de todos os outros recursos. Estamos expandindo o escopo do SFI, integrando as recomendações recentes do CSRB, bem como nossos aprendizados da Midnight Blizzard, para garantir que nossa abordagem de segurança cibernética permaneça robusta e adaptável ao cenário de ameaças em evolução.
Mobilizaremos os pilares e objetivos expandidos do SFI em toda a Microsoft e esta será uma dimensão nas nossas decisões de contratação. Além disso, incutiremos responsabilidade ao basear parte da remuneração da Equipa de Liderança Sénior da empresa no nosso progresso no cumprimento dos nossos planos e marcos de segurança.
Abaixo seguem detalhes que demonstram a seriedade do nosso trabalho e comprometimento.
Expansão da abordagem e escopo do SFI
Evoluímos a nossa abordagem de segurança e, no futuro, o nosso trabalho será guiado pelos três princípios de segurança seguintes:
- Seguro desde o design: a segurança vem em primeiro lugar ao projetar qualquer produto ou serviço.
- Seguro por padrão: as proteções de segurança são habilitadas e aplicadas por padrão, não exigem esforço extra e não são opcionais.
- Operações seguras: os controles e o monitoramento de segurança serão continuamente melhorados para responder às ameaças atuais e futuras.
Estamos ampliando ainda mais nossos objetivos e ações alinhados a seis pilares de segurança prioritários e proporcionando visibilidade aos detalhes de nossa execução:
1. Proteja identidades e segredos
Reduzir o risco de acesso não autorizado implementando e aplicando os melhores padrões em toda a infraestrutura de identidade e segredos, e autenticação e autorização de usuários e aplicativos. Como parte disso, estamos tomando as seguintes ações:
- Proteger a assinatura da infraestrutura de identidade e as chaves da plataforma com rotação rápida e automática com armazenamento e proteção de hardware (por exemplo, módulo de segurança de hardware (HSM) e computação confidencial).
- Fortalecer os padrões de identidade e impulsionar sua adoção por meio do uso de SDKs padrão em 100% dos aplicativos.
- Garantir que 100% das contas de usuário estejam protegidas com autenticação multifator, gerenciada de forma segura e resistente a phishing.
- Garantir que 100% dos aplicativos estejam protegidos com credenciais gerenciadas pelo sistema (por exemplo, Identidade Gerenciada e Certificados Gerenciados).
- Garantir que 100% dos tokens de identidade estejam protegidos com validação durável e com estado.
- Adotar um particionamento mais refinado de chaves de assinatura de identidade e chaves de plataforma.
- Garantir que os sistemas de identidade e infraestrutura de chave pública (PKI) estejam prontos para um mundo de criptografia pós-quântica.
2. Proteger os inquilinos e isolar os sistemas de produção
Proteger todos os locatários e ambientes de produção da Microsoft usando as melhores práticas de segurança consistentes e isolamento rigoroso para minimizar a amplitude do impacto. Como parte disso, estamos tomando as seguintes ações:
- Manter a postura de segurança e as relações comerciais dos locatários, removendo todos os sistemas não utilizados, antigos ou legados.
- Proteger 100% dos locatários, contas comerciais e recursos de locatários da Microsoft, adquiridos e criados por funcionários, de acordo com as linhas de base das práticas recomendadas de segurança.
- Gerenciar 100% dos aplicativos Microsoft Entra ID com um nível de segurança alto e consistente.
- Eliminar 100% dos pivôs de movimento lateral de identidade entre locatários, ambientes e nuvens.
- 100% dos aplicativos e usuários têm aplicação contínua de acesso com privilégios mínimos.
- Garantir que apenas dispositivos seguros, gerenciados e íntegros tenham acesso aos locatários da Microsoft.
3. Redes de proteção
Proteja as redes de produção da Microsoft e implemente o isolamento de rede dos recursos da Microsoft e dos clientes. Como parte disso, estamos tomando as seguintes ações:
- Proteger 100% das redes e sistemas de produção da Microsoft conectados às redes, melhorando o isolamento, o monitoramento, o inventário e as operações seguras.
- Aplicar isolamento de rede e micros segmentação a 100% dos ambientes de produção Microsoft, criando camadas adicionais de defesa contra invasores.
- Permitir que os clientes protejam facilmente suas redes e isolem recursos de rede na nuvem.
4. Proteja sistemas de engenharia
Proteger os ativos de software e melhorar continuamente a segurança do código por meio da governança da cadeia de fornecimento de software e da infraestrutura de sistemas de engenharia. Como parte disso, estamos tomando as seguintes ações:
- Construir e manter inventário para 100% dos ativos de software usados para implantar e operar produtos e serviços Microsoft.
- 100% do acesso ao código-fonte e à infraestrutura de sistemas de engenharia é protegido por meio de Zero Trust e políticas de acesso com privilégios mínimos.
- 100% do código-fonte implantado em ambientes de produção da Microsoft é protegido por práticas recomendadas de segurança.
- Ambientes seguros de desenvolvimento, construção, teste e lançamento com pipelines governados e 100% padronizados e isolamento de infraestrutura.
- Proteger a cadeia de fornecimento de software para proteger os ambientes de produção da Microsoft.
5. Monitorar e detectar ameaças
Cobertura abrangente e detecção automática de ameaças à infraestrutura e aos serviços de produção da Microsoft. Como parte disso, estamos tomando as seguintes ações:
- Manter um inventário atualizado em 100% da infraestrutura e dos serviços de produção da Microsoft.
- Reter 100% dos registros de segurança por pelo menos dois anos e disponibilizar seis meses de registros apropriados aos clientes.
- 100% dos registros de segurança são acessíveis a partir de um data lake central para permitir investigação de segurança e caça a ameaças eficientes e eficazes.
- Detectar automaticamente e responder rapidamente a acessos, comportamentos e configurações anômalos em 100% da infraestrutura e dos serviços de produção da Microsoft.
6. Acelerar resposta e correção
Prevenir a exploração de vulnerabilidades descobertas por entidades externas e internas, por meio de uma remediação abrangente e em tempo hábil. Como parte disso, estamos tomando as seguintes ações:
- Reduzir o tempo de mitigação de vulnerabilidades de segurança de alta gravidade na nuvem, com resposta acelerada.
- Aumentar a transparência das vulnerabilidades mitigadas na nuvem por meio da adoção e lançamento dos padrões do setor Common Weakness Enumeration™ (CWE™) e Common Platform Enumeration™ (CPE™) para vulnerabilidades e exposições comuns (CVE) de alta gravidade lançadas, que afetam a nuvem.
- Melhorar a precisão, a eficácia, a transparência e a velocidade das mensagens públicas e do envolvimento do cliente.
Esses objetivos se alinham diretamente com nossos aprendizados a partir do incidente da Midnight Blizzard, bem como com todas as quatro recomendações do CSRB para a Microsoft e todas as 12 recomendações para provedores de serviços de nuvem (CSPs), nas áreas de cultura de segurança e nas práticas recomendadas de segurança cibernética, normas de registro de auditoria, identidade digital padrões e orientações e transparência.
Vamos cumprir estes objetivos por meio de um novo nível de coordenação com um novo modelo operacional que alinha líderes e equipes aos seis pilares SFI, a fim de impulsionar a segurança de forma holística e quebrar os silos tradicionais. Os líderes dos pilares estão trabalhando com vice-presidentes executivos (EVPs) de engenharia para impulsionar a execução de engenharia integrada e entre empresas, fazendo esse trabalho em ondas. Essas ondas de engenharia envolvem equipes do Microsoft Azure, Windows, Microsoft 365 e Segurança, com equipes de produtos adicionais integradas semanalmente no processo.
Mesmo com muito mais a fazer, fizemos progressos importantes na execução das prioridades do SFI. Por exemplo, implementamos a aplicação automática da autenticação multifator por padrão em mais de um milhão de locatários do Microsoft Entra ID na Microsoft, incluindo locatários para desenvolvimento, testes, demonstrações e produção. Eliminamos ou reduzimos os alvos de aplicativos removendo, até o momento, 730 mil aplicativos de produção e locatários corporativos que estavam fora do ciclo de vida, ou que não atendiam aos padrões SFI atuais. Expandimos nosso registro para oferecer aos clientes uma visibilidade mais profunda. E anunciamos uma mudança significativa em nosso processo de resposta: agora estamos publicando dados de causa raiz para CVEs da Microsoft usando o padrão industrial CWE™.
Aderindo aos padrões com sistemas de caminhos já percorridos
Os caminhos já percorridos são as melhores práticas de nossas experiências aprendidas, com base em lições sobre como otimizar a produtividade de nosso desenvolvimento e operações de software, como alcançar a conformidade (como Lista de Materiais de Software, Lei Sarbanes-Oxley, Lei Geral de Proteção de Dados e outros) e como eliminar categorias inteiras de vulnerabilidades e mitigar os riscos relacionados. Um caminho pavimentado se torna um padrão quando a adoção melhora significativamente a experiência do desenvolvedor ou das operações, ou a segurança, a qualidade ou a conformidade.
Com o SFI, definimos explicitamente padrões para cada um dos seis pilares de segurança, e a adesão a esses padrões será medida como objetivos e resultados-chave (OKRs).
Impulsionando a melhoria contínua
A Secure Future Initiative capacita toda a Microsoft a implementar as mudanças necessárias para fornecer segurança em primeiro lugar. A cultura da nossa empresa é baseada em uma mentalidade de crescimento que promove um espírito de melhoria contínua. Buscamos continuamente feedback e novas perspectivas para ajustar nossa abordagem e progresso. Tomaremos o que aprendemos com os incidentes de segurança, para inseri-los em nossos padrões de segurança e operacionalizarmos esses aprendizados como caminhos pavimentados que podem permitir projetos e operações seguras em escala.
Instituindo uma nova governança
Também estamos a tomar medidas importantes para elevar a governação da segurança, incluindo diversas mudanças organizacionais e supervisão, controlos e relatórios adicionais.
A Microsoft está implementando uma nova estrutura de governança de segurança liderada pelo Chief Information Security Officer (CISO). Esta estrutura introduz uma parceria entre equipes de engenharia e Vice-CISOs recém-formados, responsáveis coletivamente por supervisionar o SFI, gerenciar riscos e reportar o progresso diretamente à Equipe de Liderança Sênior. O progresso será analisado semanalmente com este fórum executivo e trimestralmente com nosso Conselho de Administração.
Finalmente, dada a importância da inteligência sobre ameaças, estamos trazendo toda a amplitude de agentes governamentais e das capacidades de caça a ameaças para a organização CISO.
Incutir uma cultura de segurança em primeiro lugar
A cultura só pode ser reforçada através dos nossos comportamentos diários. A segurança é um esporte de equipe e é mais bem realizada quando os limites organizacionais são superados. Os EVPs de engenharia, em estreita coordenação com os líderes dos pilares SFI, estão realizando reuniões operacionais semanais e mensais em larga escala que incluem todos os níveis de gestão e colaboradores individuais seniores. Essas reuniões trabalham na execução detalhada e na melhoria contínua da segurança no contexto do que entregamos coletivamente aos clientes. Através deste processo de resolução de problemas de baixo para cima e de ponta a ponta, o pensamento de segurança está enraizado em nossos comportamentos diários.
Em última análise, a Microsoft funciona com base na confiança, e essa confiança deve ser conquistada e mantida. Como fornecedor global de software, infraestrutura e serviços em nuvem, sentimos uma profunda responsabilidade de fazer a nossa parte para manter o mundo seguro e protegido. Nossa promessa é melhorar continuamente e nos adaptarmos às crescentes necessidades de segurança cibernética. Esta é nossa prioridade número 1.