Por Bret Arsenault, vice-presidente corporativo e conselheiro chefe de segurança cibernética
Na Microsoft, estamos continuamente evoluindo nossa estratégia de segurança cibernética para ficar à frente das ameaças direcionadas a nossos produtos e clientes. Como parte de nossos esforços para priorizar a transparência e a prestação de contas, estamos lançando uma série regular sobre marcos e progresso da Secure Future Initiative (SFI) — um compromisso de vários anos que avança na maneira como projetamos, criamos, testamos e operamos nossa tecnologia para ajudar a garantir que fornecemos produtos e serviços seguros e confiáveis, permitindo que nossos clientes atinjam suas metas de transformação digital e protejam seus dados e ativos de agentes mal-intencionados.
A missão da Microsoft de capacitar todas as pessoas e organizações do planeta para alcançar mais, depende da segurança. Reconhecemos que, quando a Microsoft desempenha um papel no pioneirismo da tecnologia, também temos a responsabilidade de liderar o caminho na proteção de nossos clientes e de nossa própria infraestrutura contra ameaças cibernéticas. Contra o ritmo, a escala e a complexidade exponencialmente crescentes do cenário de segurança, é fundamental que evoluamos para sermos mais dinâmicos, proativos e integrados em nosso modelo de segurança para continuar atendendo às necessidades e expectativas em constante mudança de nossos clientes e do mercado. Nossa rica história em inovação é uma prova de nosso compromisso em fornecer produtos e serviços impactantes e confiáveis que moldam indústrias e transformam vidas. Esse legado continua à medida que trabalhamos consistentemente para estabelecer novos padrões de referência para proteger nosso futuro digital.
Para expandir nossa base de segurança integrada, em novembro de 2023 lançamos a Secure Future Initiative (SFI) para abordar diretamente a escalada de velocidade, escala e sofisticação dos ataques cibernéticos que estamos testemunhando hoje. Esta iniciativa é uma estratégia preventiva que reflete as ações que estamos tomando para “construir melhor e responder melhor” em segurança, usando automação e IA para aumentar o alcance deste trabalho e reforçar a proteção de identidade contra ciberataques altamente sofisticados. Não se trata de adaptar nossas defesas a um único ataque cibernético: a SFI ressalta a importância de um modelo de segurança em constante e proativa evolução que se adapte ao cenário digital em constante mudança.
Quatro meses se passaram desde que introduzimos o SFI, e as conquistas em nossos desenvolvimentos de engenharia demonstram as ações concretas que implementamos para garantir que a infraestrutura de segurança da Microsoft permaneça forte em um ambiente digital em constante mudança. Leia mais abaixo para atualizações sobre a iniciativa.
Transformando o desenvolvimento de software com automação e IA
Conforme observado em nosso anúncio SFI de 2 de novembro de 2023, estamos evoluindo nosso ciclo de vida de desenvolvimento de segurança (SDL) para SDL contínuo — que definimos como a aplicação de processos sistemáticos para integrar continuamente a proteção de segurança cibernética contra padrões de ameaças emergentes à medida que nossos engenheiros codificam, testam, implantam e operam nossos sistemas e serviços. Leia mais sobre SDL contínuo aqui.
Como parte de nossa evolução para o SDL contínuo, estamos implantando o CodeQL para análise de código em 100% de nossos produtos comerciais. CodeQL é uma poderosa ferramenta de análise estática no espaço de segurança de software. Ele oferece recursos avançados em várias linguagens de programação que detectam erros complexos de segurança no código-fonte. Embora nossos repositórios de código passem por uma avaliação rigorosa de SDL aproveitando as ferramentas tradicionais, como parte de nosso trabalho de SFI, agora usamos o CodeQL para cobrir 86% de nossos repositórios de código de DevOps do Azure de nossos negócios comerciais em nossa nuvem e IA, empresas e dispositivos, missões estratégicas e de segurança e grupos de tecnologia. Estamos expandindo isso ainda mais e prevemos que concluir o processo de consolidação dos últimos 14% será uma jornada complexa de vários anos devido a repositórios de código específicos e ferramentas de engenharia que exigem trabalho adicional. Em 2023, incorporamos mais de um bilhão de linhas de código-fonte ao CodeQL, o que destaca nosso compromisso com o progresso.
Como parte dos esforços para ampliar a adoção de linguagens seguras para memória, doamos US$ 1 milhão em dezembro de 2023 para a Rust Foundation, parceira integral na administração da linguagem de programação Rust. Além disso, estamos fornecendo mais US$ 3,2 milhões para o projeto Alpha-Omega. Em parceria com a Open Source Security Foundation (OpenSSF) e coliderada com o Google e a Amazon, a missão da Alpha-Omega é catalisar melhorias de segurança para os projetos de software de código aberto mais amplamente implantados e ecossistemas críticos para a infraestrutura global. Nossa contribuição este ano ajudará a expandir a cobertura, mais do que dobrando o número de projetos de código aberto amplamente implantados que analisamos, incluindo 100 das bibliotecas de IA de código aberto mais comumente usadas. O Relatório Anual Alpha-Omega 2023 destaca as melhorias de segurança e processos do ano passado e avança para promover uma cultura sustentável de segurança dentro das comunidades de código aberto.
Juntos, nossos avanços impulsionados pela SFI na expansão contínua do SDL, na promoção de atualizações seguras de código aberto e na adoção de linguagens seguras para memória fortalecem a base do software em todos os produtos e plataformas da Microsoft, bem como no setor em geral.
Fortalecimento da proteção de identidade contra ataques altamente sofisticados
Como parte de nossos avanços de engenharia SFI, estamos impondo o uso de bibliotecas de identidade padrão, como a Microsoft Authentication Library (MSAL) em toda a Microsoft. Esta iniciativa é fundamental para alcançar um quadro de verificação de identidade coeso e fiável. Ele facilita o gerenciamento contínuo e em conformidade com as políticas de identidades de usuários, dispositivos e serviços em todas as plataformas e produtos Microsoft, garantindo uma postura de segurança reforçada e consistente.
Nossos esforços já registraram realizações notáveis em várias áreas-chave. Alcançamos um marco importante com a integração total do MSAL no Microsoft 365 em todas as quatro principais plataformas: Windows, macOS, iOS e Android, marcando um avanço significativo em direção à padronização universal. Essa integração garante que os aplicativos do Microsoft 365 sejam sustentados por um mecanismo de autenticação unificado. No ecossistema do Azure, que abrange ferramentas críticas como o Microsoft Visual Studio, o SDK do Azure e a CLI do Microsoft Azure, o MSAL foi totalmente adotado, ressaltando nosso compromisso com processos de autenticação seguros e simplificados em nossas ferramentas de desenvolvimento. Além disso, mais de 99% das solicitações internas de autenticação de serviço-a-serviço, usando o Microsoft Entra para autorização, agora utilizam o MSAL, destacando nossa dedicação em aumentar a segurança e a eficiência nas comunicações entre serviços. Em última análise, esses marcos fortalecem ainda mais a identidade e a autorização em todo o nosso vasto patrimônio, tornando cada vez mais difícil para ameaças e intrusos se moverem entre usuários e sistemas.
Olhando para o futuro, estamos estabelecendo objetivos ambiciosos para reforçar ainda mais nossa infraestrutura de segurança. Até o final deste ano, pretendemos automatizar totalmente o gerenciamento de chaves Microsoft Entra ID e Microsoft Account (MSA). Esse processo incluirá rotação rápida e armazenamento seguro de chaves dentro de Módulos de Segurança de Hardware (HSMs), melhorando significativamente nossas medidas de segurança. Além disso, estamos no caminho certo para garantir que os aplicativos mais usados da Microsoft façam a transição para bibliotecas de identidade padrão até o final do ano. Por meio desses esforços coletivos, nosso objetivo é não apenas melhorar a segurança, mas também melhorar a experiência do usuário e agilizar os processos de autenticação em todo o nosso pacote de produtos.
Mantenha-se por dentro das atualizações mais recentes do Secure Future Initiative
À medida que avançamos com o SFI, a Microsoft permanece inabalável em seu compromisso de evoluir continuamente em nossa postura de segurança e fornecer transparência em nossas comunicações. Estamos dedicados a inovar, proteger e liderar em uma era na qual as ameaças digitais estão em constante mudança. O progresso que compartilhamos hoje é apenas uma fração de nossa estratégia abrangente para proteger a infraestrutura digital e nossos clientes que dependem dela.
Nos próximos meses, continuaremos a compartilhar nosso progresso no aprimoramento de nossas capacidades, na implantação de tecnologias inovadoras e no fortalecimento de nossas colaborações para lidar com as complexidades da segurança cibernética. Estamos comprometidos em construir um mundo digital mais seguro e resiliente, com foco na transparência e segurança em todas as etapas.
Para saber mais sobre o Microsoft SFI e ler mais detalhes sobre nossos três avanços de engenharia, visite nosso site de segurança integrado.
Saiba mais sobre as soluções de Segurança da Microsoft e favorite o blog de Segurança para acompanhar nossa cobertura especializada em assuntos de segurança. Além disso, siga-nos no LinkedIn (Microsoft Security) e X (@MSFTSecurity) para as últimas notícias e atualizações sobre segurança cibernética.