É mais uma vez um déjà vu na Microsoft.
Em um movimento que lembra o famoso impulso da Computação Confiável do passado, Redmond está respondendo a uma onda de hacks embaraçosos com uma nova ‘Iniciativa para o Futuro Seguro’, prometendo patches de nuvem mais rápidos, melhor gerenciamento de chaves de assinatura de identidade e um compromisso de fornecer software com maior barra de segurança padrão.
Em um observação ao anunciar a nova abordagem SFI, o vice-presidente de segurança da Microsoft, Charlie Bell, disse que a gigante do software renovará o antigo ciclo de vida de desenvolvimento de software (SDL) para dar conta das últimas tendências em ataques cibernéticos.
“A primeira prioridade é a segurança por padrão”, disse Bell, ecoando as palavras do fundador da Microsoft, Bill Gates, no memorando seminal de 2002 que documentou a missão da empresa de erradicar problemas de segurança que estavam levando a ataques destrutivos de worms no Windows.
Hoje, a Microsoft está se recuperando de um grande hack em sua principal plataforma de nuvem M365, um comprometimento que levou ao roubo de e-mails do governo dos EUA e levou um senador dos EUA a acusar a Microsoft de “negligência em segurança cibernética”.
O hack do M365, causado por uma embaraçosa má gestão das chaves de assinatura, está sendo investigado pelo Conselho de Revisão de Segurança Cibernética (CSRB) do Departamento de Segurança Interna.
“Consideramos cuidadosamente o que vemos na Microsoft e o que ouvimos de clientes, governos e parceiros para identificar nossas maiores oportunidades de impactar o futuro da segurança. Vamos nos concentrar na transformação do desenvolvimento de software, na implementação de novas proteções de identidade e na condução de respostas mais rápidas às vulnerabilidades”, disse Bell.
Mais especificamente, a Microsoft planeja mover as chaves de assinatura de identidade para um HSM Azure integrado e reforçado e uma infraestrutura de computação confidencial, onde as chaves de assinatura não são apenas criptografadas em repouso e em trânsito, mas também durante processos computacionais.
“A rotação de chaves também será automatizada, permitindo a substituição de chaves de alta frequência sem qualquer potencial de acesso humano”, anunciou Bell, uma referência clara a como um erro de despejo de memória foi explorado por um grupo de espionagem chinês para roubar e-mails de aproximadamente 25 organizações.
Bell, que assumiu o controle da segurança na Microsoft em 2021 após um período gerenciando segurança na AWS, disse que a empresa usará IA para ajudar a automatizar a modelagem de ameaças e adotar linguagens seguras de memória como Rust para construir segurança no nível da linguagem e eliminar classes inteiras de tecnologias tradicionais. vulnerabilidades de software.
Em um aceno aos perigos das implantações de nuvem padrão que expõem dados a hackers remotos, Bell disse que o SFI passará a implementar controles de linha de base de locatários do Azure (99 controles em nove domínios de segurança) por padrão em nossos locatários internos automaticamente.
Ele disse que a mudança reduzirá o tempo de engenharia gasto no gerenciamento de configuração e garantirá a adesão e a correção automática das configurações na implantação. “Nosso objetivo é avançar para 100% de correção automática sem afetar a disponibilidade do serviço”, disse Bell.
O vice-presidente de segurança da Microsoft também prometeu reduzir em 50% o tempo necessário para mitigar as vulnerabilidades da nuvem e “tomar uma posição mais pública contra pesquisadores terceirizados que estão sujeitos a acordos de não divulgação por fornecedores de tecnologia”.
“Sem total transparência sobre as vulnerabilidades, a comunidade de segurança não pode aprender coletivamente – a defesa em escala requer uma mentalidade construtiva. A Microsoft está comprometida com a transparência e incentivará todos os principais provedores de nuvem a adotarem a mesma abordagem”, declarou Bell.
A própria Microsoft tem enfrentado críticas intensas por sua própria abordagem à pesquisa de vulnerabilidades de terceiros em seus produtos em nuvem e continua a lutar com patches defeituosos e incompletos e com um aumento nos ataques de dia zero do Windows.
A empresa anunciou recentemente planos para expandir os padrões de registro para clientes M365 de nível inferior e aumentar a duração da retenção de dados de caça a ameaças.