Microsoft, yıllardır süren güvenlik sorunları ve ABD Siber Güvenlik İnceleme Kurulu’ndan gelen sert bir raporun ardından, bu yılın başlarında her çalışan için güvenliği 1 numaralı önceliği haline getirdi. Microsoft CEO’su Satya Nadella’nın tüm şirkete güvenliğin her şeyden önce önceliklendirilmesi gerektiğini söylemesinden yaklaşık altı ay sonra, yazılım devi bir rapor sağlamak ilerlemesi üzerine.
Microsoft, ABD Siber Güvenlik İnceleme Kurulu’nun “Microsoft’un güvenlik kültürünün yetersiz olduğu ve elden geçirilmesi gerektiği” sonucuna varmasından sadece birkaç ay önce, Kasım 2023’te Güvenli Gelecek Girişimini (SFI) başlattı. Bu sert inceleme Microsoft’u gerçekten harekete geçirdi ve şirket bugün, SFI’si için çalışan tam zamanlı mühendis sayısının 34.000’e eşdeğer olduğunu ve bunun Microsoft içindeki en büyük siber güvenlik mühendisliği çalışması olduğunu açıkladı.
Şirket geçen ay güvenlik çabalarını çalışan performans değerlendirmelerine bağladıktan sonra, artık her Microsoft çalışanı güvenlik çalışmalarına göre değerlendiriliyor. Microsoft, son aylarda SFI sonucunda güvenlik süreçlerinde bir dizi iyileştirme de tamamladı.
Microsoft, Azure tarafından yönetilen donanım güvenlik modülünü kullanarak erişim belirteci imzalama anahtarlarını oluşturmak, depolamak ve otomatik olarak döndürmek için Entra ID ve Microsoft Account (MSA) sistemlerini güncelledi. Saldırı yüzeylerini azaltmak için 5,75 milyon etkin olmayan kiracı da ortadan kaldırıldı. Microsoft ayrıca artık eski sistemlerin gelecekte güvenlik sorunlarına yol açmasını önlemek için güvenli varsayılanlara sahip yeni bir test sistemi kullanıyor.
Microsoft artık fiziksel ağının %99’undan fazlasını, aygıt yazılımı uyumluluğu ve günlük kaydı konusunda yardımcı olan merkezi bir envanter sisteminde takip ediyor. Microsoft, günlük kayıtlarını da en az iki yıl boyunca saklamak için denetim günlüklerini iyileştirdi.
Microsoft içindeki mühendislik ekiplerinin kişisel erişim belirteçleri artık yalnızca yedi güne düşürüldü, tüm dahili mühendislik depoları için SSH erişimi devre dışı bırakıldı ve önemli mühendislik sistemlerine erişimi olan kişi sayısı azaltıldı.
Microsoft, geçmişte güvenlik sorunlarına yanıt vermenin uzun sürmesi nedeniyle eleştirilmişti ve şirket artık “şeffaflığı artırmak için müşteriden herhangi bir işlem yapılması gerekmese bile” CVE’ler yayınlıyor.
Microsoft’un mühendislik süreçlerini ve güvenlik kültürünü dönüştürmek kolay bir iş değil, özellikle de şirketin her gün 500.000’den fazla iş öğesi ve her ay 5 milyon derleme üzerinde çalışan 100.000 mühendisi, tasarımcısı ve proje yöneticisi olduğu düşünüldüğünde.
Microsoft, “Doğru Başla, Doğru Kal ve Doğruyu Bul” yaklaşımını kullanarak yeni standartlar uyguluyor. “Doğru Başla” şablonlar, politikalar ve self servis araçları kullanarak projelerin güvenlik standartlarına uymasını sağlar. “Doğru Kal” daha sonra projelerde izleme ve ilgili politika uygulamasının olduğundan emin olur. Son kısım ise Microsoft’un uyumluluk durumunu izlemesi için tasarlanmış “Doğruyu Bul”dur.
Yazılım devi ayrıca yeni bir Siber Güvenlik Yönetim Konseyi oluşturdu ve 13 yardımcı CISO atadı; bunlardan dördü Microsoft’un yeni işe aldıkları kişiler:
- Damon Becknel, başkan yardımcısı ve yardımcı CISO, düzenlenen endüstriler: Becknel, ID.me ve Horizon Blue Cross Blue Shield’da CISO olarak görev yaptıktan sonra Temmuz ayında Microsoft’a katıldı.
- Geoff Belknap, kurumsal başkan yardımcısı ve yardımcı CISO, çekirdek ve birleşme ve satın almalar: Belknap daha önce Microsoft’a ait LinkedIn’de CISO olarak görev yapmış, ayrıca Slack’te CISO ve Palantir’de CSO olarak görev yapmıştı.
- Oyun sektöründen sorumlu başkan yardımcısı ve yardımcı CISO Shawn Bowen: Bowen, World Kinect ve ABD Deniz Piyadeleri İstihbaratında CISO olarak görev yapmak da dahil olmak üzere mühendislik ve güvenlik rollerinde 27 yıl geçirdi.
- Timothy Langan, kurumsal başkan yardımcısı ve hükümet CISO yardımcısı: Langan, Temmuz ayında Microsoft’a katılmadan önce FBI’da 26 yıldan fazla çalıştı ve ABD teşkilatındaki siber, cezai soruşturmalar ve diğer operasyonları yönetti.
Diğer dokuz yardımcı CISO, şirkette onlarca yıllık deneyime sahip çeşitli kıdemli Microsoft yöneticilerinden oluşuyor. Bunlar arasında, mevcut Azure CTO rolünün yanı sıra Azure için yardımcı CISO olarak atanan teknik eleman Mark Russinovich de yer alıyor. Microsoft’un kıdemli liderlik ekibi artık SFI ilerlemesini haftalık olarak inceliyor ve ilerleme hakkında Microsoft yönetim kuruluna üç ayda bir güncellemeler sağlıyor.
Son olarak Microsoft, Temmuz ayında tüm çalışanlara “günlük operasyonlarda güvenliğin önemini” pekiştirmek için eğitim içeren bir güvenlik beceri akademisi başlattı. Bu devam eden eğitim, performans değerlendirmeleri ve Microsoft’un kıdemli liderlik ekibinin denetimi, çalışanlar üzerinde güvenliğe her zamankinden daha fazla odaklanma baskısı yaratıyor, ancak Microsoft hala güveni geri kazanma ve güvenlik sicili hakkındaki manşetleri geride bırakma yolunda uzun bir yolda.
“Şeffaflık ve sektör iş birliğine olan bağlılığımız sarsılmaz” Charlie Bell diyorMicrosoft güvenlik başkanı. “Sürekli öğrenme ve iyileştirme kültürünü destekleyerek, güvenliğin yalnızca bir özellik değil, bir temel olduğu bir gelecek inşa ediyoruz.”