Protegendo nosso futuro: relatório de progresso de abril de 2025 sobre a Iniciativa Futuro Seguro da Microsoft

Iniciativa Futuro Seguro

Por Charlie Bell, vice-presidente executivo de Segurança da Microsoft

A Iniciativa Futuro Seguro – Microsoft Secure Future Initiative (SFI), em inglês – é o maior projeto de engenharia de segurança cibernética da história e o esforço mais extenso desse tipo na Microsoft. Desde o início, dedicamos o equivalente a 34 mil engenheiros trabalhando em tempo integral por 11 meses para mitigar riscos e abordar as tarefas de segurança de maior prioridade. Agora, estamos compartilhando o segundo relatório de progresso da SFI, que destaca o progresso feito em nossa jornada de vários anos para melhorar a postura de segurança da Microsoft, de nossos clientes e do setor em geral.

Leia o último relatório da Iniciativa Futuro Seguro

Realizamos progressos em toda a cultura e governança, promovendo uma mentalidade de “segurança em primeiro lugar” em todos os funcionários e investindo em estruturas de governança holísticas para lidar com o risco de segurança cibernética em toda a nossa empresa.

Para proteger melhor aos clientes, as equipes de engenharia da Microsoft estão oferecendo inovação alinhada com nossos princípios de segurança, como o novo Secure by Design UX Toolkit,  que testamos com 20 equipes de produto, implementamos para 22 mil funcionários e compartilhamos publicamente. Este kit de ferramentas incorpora as melhores práticas de segurança no desenvolvimento de produtos e já está alcançando resultados. Ele inclui práticas recomendadas, cartões de conversa e ferramentas de workshop para ajudar as equipes a criar recursos de segurança, identificar vulnerabilidades em produtos e priorizar onde se concentrar. 

Também progredimos em todos os pilares e objetivos de engenharia, fortalecendo continuamente nossa segurança de identidade, reduzindo o risco de movimento lateral entre redes e locatários, melhorando nossa capacidade de detectar e responder a ameaças cibernéticas e fazendo parcerias com o setor para proteger os clientes de falhas do tipo “zero day”. Os insights e aprendizados desse progresso contribuem para as inovações contínuas em nosso portfólio de Segurança da Microsoft — Microsoft Entra, Microsoft Defender e Microsoft Purview — que ajudam a proteger melhor os clientes e a Microsoft.

Para proteger melhor as chaves de assinatura, em setembro de 2024, movemos as chaves de assinatura de token de acesso do Entra ID e da MSA (Conta Microsoft) para HSMs (módulos de segurança) baseados em hardware e segurança baseada em virtualização no Windows, com rotação automática. Desde então, aplicamos novas proteções de defesa em profundidade em resposta às nossas pesquisas e avaliações do Red Team, migramos o serviço de assinatura MSA para máquinas virtuais (VMs) confidenciais do Azure e estamos migrando o serviço de assinatura Entra ID para o mesmo. Cada uma dessas melhorias ajuda a mitigar os vetores de ataque que suspeitamos que foram usadas no ataque Storm-0558 de 2023 à Microsoft.

Também melhoramos nossa capacidade de detectar e responder a ameaças cibernéticas, adicionando mais de 200 detecções adicionais das principais táticas, técnicas e procedimentos (TTPs), que serão integrados ao Microsoft Defender quando aplicável. A parceria com a comunidade de pesquisa de segurança descobriu proativamente 180 vulnerabilidades nas áreas de alto impacto da nuvem e da IA e expandiu nosso programa para lidar com vulnerabilidades em um tempo reduzido de mitigação para cobrir mais produtos, ambientes e camadas mais baixas.

Os principais destaques do relatório completo de progresso do SFI podem seguem abaixo:

Leia o Relatório de Progresso do SFI completo

Seguro por design, padrão e em operações

Neste relatório, você encontrará exemplos de como estamos criando proteções desde o início, alinhadas com nossos princípios de segurança:

  • O novo kit de ferramentas de UX Secure by Design, testado por 20 equipes de produto e lançado para 22 mil funcionários, bem como uma versão disponível publicamente, está ajudando as equipes a criar experiências mais seguras e centradas no usuário.
  • O lançamento de 11 inovações no Microsoft Azure, Microsoft 365, Windows e Microsoft Security que ajudam a melhorar a segurança por padrão.
  • Processos de desenvolvimento de IA que agora incluem revisões dedicadas de segurança e proteção lideradas pela Organização de Segurança e Proteção de Inteligência Artificial Generativa.
  • Aplicar práticas de operações seguras em nossos sistemas de IA, conforme descrito em nosso Relatório de Transparência de IA Responsável.
  • Novas políticas, modelos de detecção baseados em comportamento e métodos de investigação que frustraram US$ 4 bilhões em tentativas de fraude.

Esses avanços ajudam a proteger nossos clientes e a Microsoft.

Mentalidade de “segurança em primeiro lugar” em toda a empresa

A segurança começa com as pessoas. No ano passado, ativamos uma cultura de segurança em todos os cantos da empresa, desde a engenharia até as operações e o suporte ao cliente.

  • Cada funcionário da Microsoft tem uma prioridade principal de segurança vinculada diretamente às avaliações de desempenho.
  • 50 mil funcionários participaram da Microsoft Security Academy para melhorar suas habilidades de segurança.
  • 99% dos funcionários concluíram nossos cursos de Fundamentos de Segurança e Código de Confiança.

Essa mudança não é sobre conformidade, é sobre empoderamento. Queremos que todas as pessoas na Microsoft entendam seu papel em manter nossos clientes seguros e tenham as ferramentas para agir de acordo com essa responsabilidade.

Governança mais forte para gerenciar riscos em toda a empresa

Em maio de 2024, introduzimos uma nova estrutura de governança para melhorar a visibilidade e a responsabilidade do risco. Desde então, aprofundamos nosso investimento:

  • Nomeamos um CISO (Diretor Adjunto de Segurança da Informação) para Aplicativos de Negócios e consolidamos a responsabilidade pelo Microsoft 365 e setor de Experiências e Dispositivos.
  • Todos os 14 CISOs adjuntos da Microsoft concluíram um inventário de risco e priorização, criando uma visão compartilhada do risco de segurança em toda a empresa.

Esse tipo de estrutura é fundamental para a escala, garantindo que a segurança não seja apenas centralizada, mas incorporada em toda a organização.

Impulsionando o progresso mensurável em todos os pilares

Continuamos a progredir em todos os pilares e objetivos. Dos 28 objetivos, cinco estão em fase de conclusão, 11 fizeram progressos significativos e continuamos a progredir em relação aos demais. Como resultado do SFI, nossas plataformas e serviços são mais seguros e melhoramos nossa capacidade de detectar e responder a ameaças cibernéticas.

1. Proteja identidades e segredos: melhoramos a segurança de identidade para serviços e clientes da Microsoft

  • Novas proteções de defesa em profundidade para chaves de assinatura de token Microsoft Entra ID e Microsoft Account (MSA) já armazenadas em módulos de segurança baseados em hardware. O serviço de assinatura da MSA (Conta Microsoft) foi migrado para VMs confidenciais do Azure.
  • 90% dos tokens de identidade do Microsoft Entra ID para aplicativos da Microsoft são validados por um SDK (Kit de Desenvolvimento de Software) de identidade consistente e reforçada.
  • Para mitigar o risco de ataques cibernéticos avançados, 92% das contas de produtividade dos funcionários agora usam autenticação multifator (MFA) resistente a phishing.

2. Proteger os locatários e isolar os sistemas de produção: Continuamos a remover recursos legados e não utilizados e aumentar o isolamento, para reduzir o risco de movimento lateral

  • Fizemos a transição de mais de 88% dos recursos para o Azure Resource Manager, removemos um total de 6,3 milhões de locatários (um adicional de 550 mil desde setembro) e todos os novos locatários agora são registrados automaticamente em nosso sistema de resposta a emergências de segurança.
  • Usamos uma solução automatizada de gerenciamento do ciclo de vida para todos os aplicativos do Microsoft Entra ID no ambiente de produção.
  • A autenticação para 4,4 milhões de identidades gerenciadas do ambiente de produção agora está restrita a locais de rede específicos, protegendo ainda mais esses ativos críticos.

3. Proteger as redes: O progresso feito em relação a todos os objetivos melhorou a segurança de nossa rede e proporcionou inovações para ajudar os clientes a proteger suas redes

  • Mais de 99% dos ativos de rede foram inventariados e usam padrões de segurança aprimorados.
  • Continuamos a adicionar camadas de defesa em profundidade, aplicando isolamento e segmentação de rede à nossa rede.
  • Introduzimos quatro novos recursos de segurança para ajudar os clientes a proteger suas redes: NSP (Perímetro de Segurança de Rede), DNSSEC (Extensões de Segurança DNS), Azure Bastion Premium e um recurso de sub-rede privada.

4. Proteger os sistemas de engenharia: melhoramos a segurança dos sistemas que usamos para criar, testar e implantar código

  • 99,2% dos pipelines têm um inventário completo, que é aplicado na criação e validado em 24 horas.
  • A MFA protege 81% das ramificações de código de produção por meio de verificações de prova de presença.
  • Ampla adoção do Central Feed Services, que ajuda a fornecer aos desenvolvedores um feed de código aberto com governança.

5. Monitorar e detectar ameaças: Para melhorar nossa capacidade de investigar e responder a ameaças cibernéticas

  • Rastreamos 97% de nossos ativos de infraestrutura de produção centralmente.
  • As equipes de engenharia continuam adotando nosso padrão de registro de segurança, incluindo a política de retenção mínima de dois anos.
  • Adicionamos mais de 200 detecções adicionais contra as principais táticas, técnicas e procedimentos (TTPs). As detecções aplicáveis serão integradas ao Microsoft Defender.

6. Acelere a resposta e a correção: estamos abordando mais vulnerabilidades, mais rapidamente, e continuamos a melhorar as comunicações com os clientes relacionadas à segurança

  • Taxa de sucesso de 73% ao lidar com vulnerabilidades na nuvem em nosso tempo reduzido de mitigação, com escopo de programa significativamente expandido.
  • Como parte do Zero Day Quest, os pesquisadores identificaram 180 novas vulnerabilidades nas áreas de alto impacto da nuvem e da IA, permitindo-nos resolvê-las de forma proativa.
  • Introduzimos novos processos e manuais para melhorar as comunicações de incidentes de segurança com os clientes.

Um futuro de inovação segura

O progresso na segurança cibernética nunca é linear. As ameaças cibernéticas evoluem. A tecnologia muda. Novos riscos surgem. Mas cada passo que damos para proteger nossas plataformas é um investimento em um futuro mais seguro, para a Microsoft, nossos clientes e todo o ecossistema.

SFI é como estamos enfrentando esse desafio. Estamos aplicando os princípios Zero Trust (Confiança Zero), impulsionando a segurança do núcleo de engenharia e compartilhando o que aprendemos. Há mais trabalho pela frente e estamos comprometidos com a jornada.

Também sabemos que a segurança é uma atividade de equipe. É preciso colaboração entre clientes, parceiros e o setor em geral para avançarmos juntos. Como parte de nosso compromisso com o ecossistema mais amplo, temos orgulho de continuar a apoiar iniciativas como o compromisso CISA Secure by Design, reforçando nossa crença de que a segurança é a base da confiança.

Obrigado por sua confiança e sua parceria. Vamos continuar construindo um futuro seguro juntos.

Leia o último Relatório de Progresso da SFI

Saiba mais com o Microsoft Security

Para saber mais sobre as soluções de segurança da Microsoft e a Secure Future Initiative da Microsoft, visite nosso site. Marque o blog de segurança para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos no LinkedIn (Microsoft Security) e X (@MSFTSecurity) para obter as últimas notícias e atualizações sobre segurança cibernética. 

Tags: