Protegendo nosso futuro: atualização de progresso na Iniciativa Futuro Seguro (SFI) da Microsoft em setembro de 2024

Ilustración que muestra a Charlie Bell, vicepresidente ejecutivo de Microsoft Security

Em novembro de 2023, introduzimos a Iniciativa Futuro Seguro (Secure Future Initiative – SFI, em inglês) para aprimorar a proteção de segurança cibernética para a Microsoft, nossos clientes e o setor. Em maio de 2024, expandimos a iniciativa para focar em seis pilares principais de segurança, incorporando feedback do setor e nossos próprios insights. Desde  o início, dedicamos o equivalente a 34 mil engenheiros em tempo integral à SFI, tornando-se o maior esforço de engenharia de segurança cibernética da história. E agora, estamos compartilhando as principais atualizações e marcos do primeiro Relatório de Progresso da SFI.

Leia o Relatório de Progresso da SFI completo

Foco na segurança acima de tudo

Ilustración que muestra los pilares de la Iniciativa de Futuro Seguro

Na Microsoft, reconhecemos nossa responsabilidade em proteger o futuro de nossos clientes e comunidade. Como resultado, cada indivíduo na Microsoft desempenha um papel fundamental para “priorizar a segurança acima de tudo“. Fizemos progressos significativos na promoção de uma cultura de priorização da segurança. Algumas das principais atualizações incluem:

  • Para melhorar a governança, anunciamos a criação de um novo Conselho de Governança de Segurança Cibernética e a nomeação de vice-diretores de Segurança da Informação (CISOs Adjuntos) para as principais funções de segurança e todas as divisões de engenharia. Liderados por nosso CISO Igor Tsyganskiy, os CISOs adjuntos formam o Conselho de Governança de Segurança Cibernética e são responsáveis pelo risco cibernético geral, defesa e conformidade da empresa.
  • A segurança agora é uma prioridade central para todos os funcionários da Microsoft e será incluída em suas avaliações de desempenho. Isso capacitará todos os funcionários e gerentes a se comprometerem e – serem responsáveis por – priorizar a segurança. Além disso, é uma maneira para nós de codificar as contribuições de um funcionário para a SFI e celebrar o impacto.
  • Lançamos a Security Skilling Academy, uma experiência de aprendizado personalizada de treinamentos específicos de segurança e selecionados para todos os funcionários em todo o mundo. Essas aulas garantem que, independentemente da função, os funcionários estejam equipados para priorizar a segurança em seu trabalho diário e identificar o papel direto que eles têm na proteção da Microsoft.
  • Para garantir a responsabilidade e a transparência nos níveis mais altos, a equipe de liderança sênior da Microsoft analisa o progresso da SFI semanalmente e as atualizações são fornecidas ao Conselho de Administração da Microsoft trimestralmente. Além disso, a equipe de liderança sênior da Microsoft agora tem desempenho em segurança diretamente vinculado à remuneração.
Explore mais detalhes sobre atualizações de cultura e governança no relatório completo

Destaques do pilar: Uma abordagem abrangente para a segurança cibernética

Também fizemos progressos em nossos seis pilares principais, cada um representando uma área crítica de foco em segurança cibernética. Esses pilares orientam nosso trabalho contínuo para elevar o nível de segurança em toda a Microsoft e nos ajudar a atender às crescentes demandas do cenário de segurança. Estas são as atualizações mais recentes nessas áreas:

  1. Proteção de identidades e segredos:  Concluímos as atualizações do Microsoft Entra IS e da Conta Microsoft (MSA) para nossas nuvens públicas e do governo dos Estados Unidos para gerar, armazenar e girar automaticamente as chaves de assinatura do token de acesso usando o serviço Módulo de Segurança de Hardware (HSM) gerenciado pelo Azure. Continuamos a impulsionar a ampla adoção de nossos SDKs de identidade padrão, que fornecem validação consistente de tokens de segurança. Essa validação padronizada agora abrange mais de 73% dos tokens emitidos pela ID do Microsoft Entra para aplicativos de propriedade da Microsoft. Estendemos o registro de token de segurança padronizado em nossos SDKs de identidade padrão para oferecer suporte à busca e detecção de ameaças e habilitamos isso em vários serviços críticos antes da ampla adoção. Concluímos a aplicação do uso de credenciais resistentes a phishing em nossos ambientes de produção e implementamos a verificação de usuário baseada em vídeo para 95% dos usuários internos da Microsoft em nossos ambientes de produtividade para eliminar o compartilhamento de senhas durante a configuração e a recuperação. 
  2. Proteção de inquilinos (tenants) e isolamento de sistemas de produção:  Concluímos uma iteração completa do gerenciamento do ciclo de vida do aplicativo para todos os nossos locatários de produção e produtividade, eliminando 730 mil aplicativos não utilizados. Eliminamos 5,75 milhões de inquilinos inativos, reduzindo drasticamente a superfície de potencial ataque cibernético. Implementamos um novo sistema para simplificar a criação de locatários de teste e experimentação com padrões seguros e gerenciamento de tempo de vida rigoroso aplicado. Implantamos mais de 15 mil novos dispositivos fechados prontos para produção nos últimos três meses. 
  3. Proteção das redes:  Mais de 99% dos ativos físicos na rede de produção são registrados em um sistema de inventário central, que enriquece o inventário de ativos com rastreamento de propriedade e conformidade de firmware. As redes virtuais com conectividade de back-end são isoladas da rede corporativa da Microsoft e estão sujeitas a revisões de segurança completas para reduzir o movimento lateral. Para ajudar os clientes a proteger suas próprias implantações, expandimos os recursos da plataforma, como Regras de Administrador, para facilitar o isolamento de rede de recursos de Plataforma como Serviço (PaaS), como Azure Storage, SQL, Cosmos DB e Key Vault.
  4. Proteção dos sistemas de engenharia:  85% de nossos pipelines de build de produção para a nuvem comercial agora estão usando modelos de pipeline governados centralmente, tornando as implantações mais consistentes, eficientes e confiáveis. Reduzimos a vida útil dos Tokens de Acesso Pessoal para sete dias, desabilitamos o acesso ao protocolo Secure Shell (SSH) para todos os repositórios de engenharia internos da Microsoft e reduzimos significativamente o número de funções elevadas com acesso a sistemas de engenharia. Também implementamos verificações de prova de presença para pontos críticos de estrangulamento em nosso fluxo de código de desenvolvimento de software.
  5. Monitoramento e detecção de ameaças:  Fizemos um progresso significativo ao impor que toda a infraestrutura e serviços de produção da Microsoft adotem bibliotecas padrão para logs de auditoria de segurança, para garantir que a telemetria relevante seja emitida e retenha logs por um período mínimo de dois anos. Por exemplo, estabelecemos um gerenciamento central e um período de retenção de dois anos para logs de auditoria de segurança de infraestrutura de identidade, abrangendo todos os eventos de auditoria de segurança durante todo o ciclo de vida das chaves de assinatura atuais. Da mesma forma, mais de 99% dos dispositivos de rede agora estão habilitados com coleta e retenção centralizadas de logs de segurança.
  6. Acelerando a resposta e a correção:  Atualizamos os processos na Microsoft para melhorar o tempo de mitigação de vulnerabilidades críticas na nuvem. Começamos a publicá-las como vulnerabilidades e exposições comuns (CVEs, em inglês), mesmo que nenhuma ação do cliente seja necessária, para melhorar a transparência. Estabelecemos o Escritório de Gestão de Segurança do Cliente (CSMO, em inglês) para melhorar as mensagens públicas e o envolvimento do cliente em relação a incidentes de segurança. 
Leia mais detalhes sobre os seis pilares no relatório completo

Reafirmando nosso compromisso com a segurança

Em segurança, o progresso consistente é mais importante do que a “perfeição” e isso se reflete na escala de recursos mobilizados para atingir nossos objetivos da SFI. O trabalho coletivo que estamos fazendo para aumentar continuamente a proteção, eliminar ativos legados (antigos) ou não conformes e identificar sistemas restantes para monitoramento afere conclusivamente nosso sucesso. À medida que olhamos para o futuro, continuamos comprometidos com a melhoria contínua. A SFI continuará a evoluir, adaptando-se a novas ameaças cibernéticas e refinando nossas práticas de segurança. Nosso compromisso com a transparência e a colaboração do setor permanece inabalável. No início de 2024, a Microsoft se tornou uma grande apoiadora do compromisso Secure by Design da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), reforçando nossa dedicação em incorporar a segurança em todos os aspectos de nossos produtos e serviços. Além disso, continuamos a integrar as recomendações do Conselho de Revisão de Segurança Cibernética (CSRB) para fortalecer nossa abordagem de segurança cibernética e aumentar a resiliência.

O trabalho que fizemos até agora é apenas o começo. Sabemos que as ameaças cibernéticas continuarão a evoluir e devemos evoluir com elas. Ao promover essa cultura de aprendizado e melhoria contínuos, estamos construindo um futuro em que a segurança não é apenas um recurso, mas uma base.

Saiba Mais

Para saber mais sobre as soluções de segurança da Microsoft e a Iniciativa Futuro Seguro da Microsoft, visite nosso site. Confira o blog de segurança para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos no LinkedIn (Microsoft Security) para obter as últimas notícias e atualizações sobre segurança cibernética.