SG.hu
A Microsoft a vezetői fizetéseket a biztonsághoz köti
A felsővezetők fizetése részben attól függ majd, hogy a cég szoftverei mennyire biztonságosak.
A Microsoft híres szoftverei biztonságának és adatvédelmének gyengeségéről. A rosszul konfigurált végpontok, a hamis biztonsági tanúsítványok és a gyenge jelszavak mind-mind érzékeny adatok kiszivárgását okozták, és a céget biztonsági kutatók és a szabályozó ügynökségek is bírálták azért, ahogyan ezekre a fenyegetésekre reagált. Például a Storm-0558 nevű, Kínában működő hackercsoport 2023 közepén betört az Azure szolgáltatásba, és több mint egy hónapon keresztül gyűjtött adatokat, mielőtt felfedezték. Hónapokig tartó bizonytalanság után a társaság nyilvánosságra hozta, hogy egy sor biztonsági hiba miatt a Storm-0558 hozzáférhetett egy mérnök fiókjához, ami lehetővé tette a Storm-0558 számára, hogy adatokat gyűjtsön az Azure 25 ügyfelétől, köztük amerikai szövetségi ügynökségektől.
Januárban a Microsoft nyilvánosságra hozta, hogy ismét betörtek hozzá, ezúttal a Midnight Blizzard nevű, orosz államilag támogatott hackercsoport volt a bűnös. A csoportnak sikerült „kompromittálnia egy régi, nem használt, tesztelésre használt fiókot”, hogy „akár két hónapig” hozzáférjen a Microsoft rendszereihez. Mindez az amerikai Kiberbiztonsági Felügyeleti Testület jelentésében csúcsosodott ki, amely a Microsoftot „nem megfelelő” biztonsági kultúrája, „pontatlan nyilatkozatai” és a „megelőzhető” biztonsági résekre adott válaszai miatt ostorozta.
A Microsoft, hogy megpróbáljon változtatni a dolgokon, 2023 novemberében bejelentette a „Secure Future Initiative” (Biztonságos jövő kezdeményezés) nevű kezdeményezését. Ennek a kezdeményezésnek a részeként a Microsoft most egy sor tervet és változtatást jelentett be a biztonsági gyakorlatával kapcsolatban, beleértve néhány már végrehajtott változtatást is. "A biztonságot a Microsoftnál a legfontosabb prioritássá emeljük, minden más funkció elé tesszük” - írta Charlie Bell, a Microsoft Security ügyvezető alelnöke. „Kibővítjük az SFI hatókörét, integráljuk a CSRB közelmúltbeli ajánlásait, valamint a Midnight Blizzardból szerzett tanulságainkat, hogy biztosítsuk, hogy kiberbiztonsági megközelítésünk továbbra is robusztus és alkalmazkodó maradjon a változó fenyegetésekhez”.”
A változások részeként a Microsoft a felsővezetői fizetésüket részben attól is függővé teszi, hogy a vállalat „teljesíti-e biztonsági terveinket és mérföldköveinket”, bár Bell nem pontosította, hogy a vezetői fizetés mennyiben függ majd e biztonsági célok teljesítésétől.
A Microsoft posztja három biztonsági alapelvet („biztonságos tervezés”, „alapértelmezett biztonság” és „biztonságos működés”) és hat „biztonsági pillért” ír le, amelyek a Microsoft rendszereinek és fejlesztési gyakorlatainak különböző gyengeségeit hivatottak kezelni. A vállalat azt tervezi, hogy az összes felhasználói fiókjának 100 százalékát „biztonságosan kezelt, adathalászat-ellenálló többfaktoros hitelesítéssel” biztosítja, minden alkalmazás és felhasználói fiók esetében a legkisebb jogosultságú hozzáférést érvényesíti, javítja a hálózat felügyeletét és elszigetelését, és az összes rendszerbiztonsági naplót legalább két évig megőrzi. A Microsoft azt is tervezi, hogy új helyettes informatikai biztonsági főnököket helyez a mérnöki csapatokba, hogy nyomon kövessék az előrehaladást, és jelentést tegyenek a vezetői csapatnak és az igazgatótanácsnak.
Ami a Microsoft által már végrehajtott konkrét javításokat illeti, Bell azt írja, hogy „a Microsofton belül több mint 1 millió Entra ID bérlőnél alapértelmezés szerint bevezették a többfaktoros hitelesítés automatikus érvényesítését”, „a mai napig 730 000 régi és/vagy nem biztonságos alkalmazást távolított el a bérlőknél”, kibővítette a biztonsági naplózást, és elfogadta a Common Weakness Enumeration (CWE) szabványt a biztonsági közzétételekhez.
Bell nyilvános biztonsági ígéretei mellett mindezt Satya Nadellának egy belső feljegyzésben újfent hangsúlyozza a vállalat nyilvánosan kinyilvánított elkötelezettségét a biztonság iránt. Nadella azt is mondja, hogy a biztonság javításának elsőbbséget kell élveznie az új funkciók hozzáadásával szemben, ami befolyásolhatja a Microsoft által a Windows 11 és más szoftverekhez kiadott folyamatos javítások és változtatások folyamát. "A belbiztonsági minisztérium kiberbiztonsági felülvizsgálati bizottságának (CSRB) közelmúltbeli megállapításai a Storm-0558 kibertámadással kapcsolatban, amely 2023 nyarán történt, aláhúzzák a vállalatunkat és ügyfeleinket fenyegető veszélyek súlyosságát, valamint azt, hogy felelősséggel tartozunk az egyre kifinomultabb fenyegető szereplők elleni védekezésért.”
"Ha a biztonság és egy másik prioritás közötti kompromisszummal kell szembenéznie, a válasz egyértelmű: válassza a biztonságot. Bizonyos esetekben ez azt jelenti, hogy a biztonságot más dolgok fölé helyezzük, mint például az új funkciók kiadása vagy a régi rendszerek folyamatos támogatása.” - írja Nadella.
A Microsoft híres szoftverei biztonságának és adatvédelmének gyengeségéről. A rosszul konfigurált végpontok, a hamis biztonsági tanúsítványok és a gyenge jelszavak mind-mind érzékeny adatok kiszivárgását okozták, és a céget biztonsági kutatók és a szabályozó ügynökségek is bírálták azért, ahogyan ezekre a fenyegetésekre reagált. Például a Storm-0558 nevű, Kínában működő hackercsoport 2023 közepén betört az Azure szolgáltatásba, és több mint egy hónapon keresztül gyűjtött adatokat, mielőtt felfedezték. Hónapokig tartó bizonytalanság után a társaság nyilvánosságra hozta, hogy egy sor biztonsági hiba miatt a Storm-0558 hozzáférhetett egy mérnök fiókjához, ami lehetővé tette a Storm-0558 számára, hogy adatokat gyűjtsön az Azure 25 ügyfelétől, köztük amerikai szövetségi ügynökségektől.
Januárban a Microsoft nyilvánosságra hozta, hogy ismét betörtek hozzá, ezúttal a Midnight Blizzard nevű, orosz államilag támogatott hackercsoport volt a bűnös. A csoportnak sikerült „kompromittálnia egy régi, nem használt, tesztelésre használt fiókot”, hogy „akár két hónapig” hozzáférjen a Microsoft rendszereihez. Mindez az amerikai Kiberbiztonsági Felügyeleti Testület jelentésében csúcsosodott ki, amely a Microsoftot „nem megfelelő” biztonsági kultúrája, „pontatlan nyilatkozatai” és a „megelőzhető” biztonsági résekre adott válaszai miatt ostorozta.
A Microsoft, hogy megpróbáljon változtatni a dolgokon, 2023 novemberében bejelentette a „Secure Future Initiative” (Biztonságos jövő kezdeményezés) nevű kezdeményezését. Ennek a kezdeményezésnek a részeként a Microsoft most egy sor tervet és változtatást jelentett be a biztonsági gyakorlatával kapcsolatban, beleértve néhány már végrehajtott változtatást is. "A biztonságot a Microsoftnál a legfontosabb prioritássá emeljük, minden más funkció elé tesszük” - írta Charlie Bell, a Microsoft Security ügyvezető alelnöke. „Kibővítjük az SFI hatókörét, integráljuk a CSRB közelmúltbeli ajánlásait, valamint a Midnight Blizzardból szerzett tanulságainkat, hogy biztosítsuk, hogy kiberbiztonsági megközelítésünk továbbra is robusztus és alkalmazkodó maradjon a változó fenyegetésekhez”.”
A változások részeként a Microsoft a felsővezetői fizetésüket részben attól is függővé teszi, hogy a vállalat „teljesíti-e biztonsági terveinket és mérföldköveinket”, bár Bell nem pontosította, hogy a vezetői fizetés mennyiben függ majd e biztonsági célok teljesítésétől.
A Microsoft posztja három biztonsági alapelvet („biztonságos tervezés”, „alapértelmezett biztonság” és „biztonságos működés”) és hat „biztonsági pillért” ír le, amelyek a Microsoft rendszereinek és fejlesztési gyakorlatainak különböző gyengeségeit hivatottak kezelni. A vállalat azt tervezi, hogy az összes felhasználói fiókjának 100 százalékát „biztonságosan kezelt, adathalászat-ellenálló többfaktoros hitelesítéssel” biztosítja, minden alkalmazás és felhasználói fiók esetében a legkisebb jogosultságú hozzáférést érvényesíti, javítja a hálózat felügyeletét és elszigetelését, és az összes rendszerbiztonsági naplót legalább két évig megőrzi. A Microsoft azt is tervezi, hogy új helyettes informatikai biztonsági főnököket helyez a mérnöki csapatokba, hogy nyomon kövessék az előrehaladást, és jelentést tegyenek a vezetői csapatnak és az igazgatótanácsnak.
Ami a Microsoft által már végrehajtott konkrét javításokat illeti, Bell azt írja, hogy „a Microsofton belül több mint 1 millió Entra ID bérlőnél alapértelmezés szerint bevezették a többfaktoros hitelesítés automatikus érvényesítését”, „a mai napig 730 000 régi és/vagy nem biztonságos alkalmazást távolított el a bérlőknél”, kibővítette a biztonsági naplózást, és elfogadta a Common Weakness Enumeration (CWE) szabványt a biztonsági közzétételekhez.
Bell nyilvános biztonsági ígéretei mellett mindezt Satya Nadellának egy belső feljegyzésben újfent hangsúlyozza a vállalat nyilvánosan kinyilvánított elkötelezettségét a biztonság iránt. Nadella azt is mondja, hogy a biztonság javításának elsőbbséget kell élveznie az új funkciók hozzáadásával szemben, ami befolyásolhatja a Microsoft által a Windows 11 és más szoftverekhez kiadott folyamatos javítások és változtatások folyamát. "A belbiztonsági minisztérium kiberbiztonsági felülvizsgálati bizottságának (CSRB) közelmúltbeli megállapításai a Storm-0558 kibertámadással kapcsolatban, amely 2023 nyarán történt, aláhúzzák a vállalatunkat és ügyfeleinket fenyegető veszélyek súlyosságát, valamint azt, hogy felelősséggel tartozunk az egyre kifinomultabb fenyegető szereplők elleni védekezésért.”
"Ha a biztonság és egy másik prioritás közötti kompromisszummal kell szembenéznie, a válasz egyértelmű: válassza a biztonságot. Bizonyos esetekben ez azt jelenti, hogy a biztonságot más dolgok fölé helyezzük, mint például az új funkciók kiadása vagy a régi rendszerek folyamatos támogatása.” - írja Nadella.