Die Secure Future Initiative stärkt Microsofts Engagement für Cybersicherheit – News Center

A Microsoft Es wurde gerade gefeuert Erster Bericht Hier wird der Fortschritt der Secure Future Initiative (SFI) bewertet, einer Initiative, die in gegründet wurde November 2023 Mit dem Ziel, das Engagement des Unternehmens bei der Reaktion auf die zunehmende Eskalation, Geschwindigkeit und Komplexität von Cyber-Angriffen zu stärken. Seit deinem Er gibt freiSFI beschäftigt insgesamt 34.000 Ingenieure, die Vollzeit an dem Projekt arbeiten, was es zum größten Cybersicherheits-Ingenieurprojekt in der Geschichte macht.

Einer der wichtigsten Schwerpunkte von Microsoft bei dieser Initiative ist die Entwicklung von Praktiken, Richtlinien und Managementstrukturen und die gleichzeitige Ermutigung aller Mitarbeiter, dies zu tun Priorisieren Sie die Sicherheit vor allem anderen. Aufbauend auf diesem Ziel kündigt Microsoft nun die Schaffung eines neuen Cybersecurity Governance Board und die Ernennung stellvertretender Chief Information Security Officers (Deputy CISOs) für strategische Sicherheitsfunktionen und für alle technischen Abteilungen an. Unter der Leitung von Igor Tsygansky, dem derzeitigen Chief Information Security Officer (CISO) von Microsoft, werden die stellvertretenden CISOs für Cyber-Risikomanagement, Verteidigung und Compliance verantwortlich sein.

Darüber hinaus hat Microsoft in den letzten 10 Monaten eine Reihe von Maßnahmen umgesetzt, die es allen Ebenen der Organisation ermöglichen sollen, auf Cybersicherheitsherausforderungen gemäß den höchsten Sicherheitsstandards zu reagieren. Im Hinblick auf die interne Kultur legt das Unternehmen nun Wert auf Sicherheit als strategische Priorität für alle Mitarbeiter in allen Regionen, die nun in die Leistungsbewertungen aller Mitarbeiter einfließt. In diesem Sinne hat das Technologieunternehmen auch die Security Skills Academy ins Leben gerufen, eine personalisierte Lernerfahrung mit spezifischer Sicherheitsschulung, die jedem Mitarbeiter weltweit unabhängig von seiner Rolle zur Verfügung steht.

Auf der Governance-Ebene der Organisation wird das Führungsteam von Microsoft damit beginnen, die Fortschritte von SFI wöchentlich zu überprüfen und dem Vorstand des Unternehmens vierteljährlich Aktualisierungen vorzulegen, um Verantwortlichkeit und Transparenz auf höchster Ebene sicherzustellen.

Zusätzlich zu diesen Maßnahmen hebt Microsoft auch die Fortschritte innerhalb der sechs Kernsäulen der Secure Futures-Initiative hervor, von denen jede einen kritischen Bereich der Cybersicherheit darstellt und die fortlaufende Arbeit des Unternehmens leitet, um die Messlatte für Sicherheit im gesamten Unternehmen höher zu legen:

Schutz von Identitäten und vertraulichen Informationen: Microsoft hat eine Reihe von Updates für Microsoft Entra ID und Microsoft Account (MSA) in seinen öffentlichen und Regierungs-Clouds in den USA abgeschlossen, um Zugriffstokenschlüssel über den Azure Managed Hardware Security Module (HSM)-Dienst automatisch zu generieren, zu speichern und zu ändern. Es hat die breite Akzeptanz seiner Standard-Identitäts-SDKs gefördert, die eine kontinuierliche Überprüfung von Sicherheitstokens ermöglichen. Diese Standardüberprüfung deckt derzeit mehr als 73 % der von Microsoft Entra ID für Microsoft-eigene Anwendungen ausgestellten Token ab. Außerdem wurde die Standardprotokollierung von Sicherheitstokens in seinen Identitäts-SDKs erweitert, um die Bedrohungserkennung und -verwaltung zu unterstützen, und diese Funktionen wurden in mehreren wichtigen Diensten aktiviert, bevor sie weit verbreitet waren. Die Implementierung phishing-resistenter Anmeldeinformationen in seinen Produktionsumgebungen wurde abgeschlossen und eine Videoüberprüfung für 95 % der internen Mitarbeiter in Produktionsumgebungen implementiert, wodurch die gemeinsame Nutzung von Passwörtern während der Einrichtung/Wiederherstellung entfällt.

Mieter schützen und Produktionsanlagen isolieren: Das Unternehmen hat eine vollständige Iteration des Anwendungslebenszyklusmanagements für alle seine Produktions- und Produktionsmandanten abgeschlossen und dabei 730.000 ungenutzte Anwendungen eliminiert. 5,75 Millionen inaktive Mieter wurden eliminiert, wodurch sich das Risiko von Angriffen deutlich verringerte. Um die Erstellung von Test- und Pilotmandanten zu vereinfachen, wurde ein neues System mit sicheren Standardeinstellungen und striktem Lebenszyklusmanagement implementiert. In den letzten drei Monaten hat das Technologieunternehmen mehr als 15.000 neue produktionsbereite, verschlossene und sichere Geräte bereitgestellt.

Netzwerkschutz: Mehr als 99 % der physischen Assets im Produktionsnetzwerk werden in einem zentralen Inventarsystem registriert, wodurch das Asset-Repertoire durch die Überwachung der Firmware-Konformität und des Firmware-Eigentums bereichert wird. Rückvernetzte virtuelle Netzwerke werden vom Microsoft-Unternehmensnetzwerk isoliert und umfassenden Sicherheitsüberprüfungen unterzogen, um seitliche Bewegungen zu reduzieren. Um Kunden bei der Sicherung ihrer Bereitstellungen zu unterstützen, hat Microsoft Plattformfunktionen wie Administratorregeln erweitert, um die Netzwerkisolation für Platform-as-a-Service (PaaS)-Ressourcen wie Speicher, SQL, Cosmos DB und Key Vault zu erleichtern.

Schutz technischer Systeme: 85 % der kommerziellen Cloud-Produktions-Build-Pipelines von Microsoft verwenden zentral verwaltete Pipeline-Vorlagen, wodurch Bereitstellungen konsistenter, effizienter und zuverlässiger werden. Die Lebensdauer persönlicher Zugriffstoken wurde auf sieben Tage verkürzt, der SSH-Zugriff auf alle internen Microsoft-Engineering-Repositories wurde deaktiviert und die Anzahl erhöhter Rollen mit Zugriff auf Engineering-Systeme wurde deutlich reduziert. Außerdem wurden Existenzprüfungen für kritische Punkte im Codefluss der Softwareentwicklung des Unternehmens implementiert.

Überwachen und erkennen Sie Bedrohungen: Microsoft ist so weit gekommen, dass seine gesamte Produktionsinfrastruktur und seine gesamten Dienste auf Standardbibliotheken von Sicherheitsüberwachungsprotokollen basieren, um sicherzustellen, dass relevante Telemetriedaten übertragen werden und die Protokolle mindestens zwei Jahre lang aufbewahrt werden. Beispielsweise wurden eine zentrale Verwaltung und eine zweijährige Aufbewahrungsfrist für Sicherheitsüberwachungsprotokolle der Identitätsinfrastruktur geschaffen, die alle Sicherheitsüberwachungsereignisse während des gesamten Lebenszyklus vorhandener Signaturschlüssel abdecken. Ebenso verfügen inzwischen mehr als 99 % der Netzwerkgeräte über eine zentralisierte Erfassung und Aufbewahrung von Sicherheitsprotokollen.

Reaktions- und Korrekturgeschwindigkeit: Microsoft-weite Prozesse wurden aktualisiert, um die Behebungszeit für kritische Cloud-Schwachstellen zu verkürzen. Um die Transparenz zu verbessern, werden kritische Cloud-Schwachstellen mittlerweile als Common Vulnerabilities and Exposures (CVEs) veröffentlicht, auch wenn keine Maßnahmen des Kunden erforderlich sind. Schließlich wurde das Customer Security Management Office (CSMO) eingerichtet, um die allgemeine Nachrichtenübermittlung und die Kundeneinbindung bei Sicherheitsvorfällen zu verbessern.

Engagement für Sicherheit

Microsoft hat sich im Rahmen seines Projekts „Secure Future Initiative“ zum Ziel gesetzt, bei seinen Produkten und Diensten kontinuierliche Fortschritte zu erzielen. SFI wird sich weiterentwickeln, sich an neue Bedrohungen anpassen und seine Unternehmenssicherheitspraktiken ändern.

Das Engagement von Microsoft für Transparenz und Branchenzusammenarbeit bleibt unerschütterlich. Anfang des Jahres schloss sich Microsoft dem Versprechen an Vom Design her sicher ist der US-amerikanischen Cybersecurity and Infrastructure Agency (CISA) angeschlossen und bekräftigt damit sein Engagement für die Integration von Sicherheit in alle Aspekte seiner Produkte und Dienstleistungen. Darüber hinaus hat das Unternehmen weiterhin Empfehlungen des Cyber ​​Safety Review Board (CSRB) berücksichtigt, um seinen Cybersicherheitsansatz zu stärken und die Ausfallsicherheit zu verbessern.

Sehen Sie sich den vollständigen Bericht an Hier.

Schlagworte: Initiative „Sichere Zukunft“.