بزرگترین تحول امنیتی تاریخ مایکروسافت
به گزارش گروه علمی ـ فناوری خبرگزاری سلامت (سلامت جو)مایکروسافت پس از سالها مشکلات امنیتی و گزارش تند از هیئت بررسی امنیت سایبری ایالات متحده، امنیت را در اوایل سال جاری به عنوان اولویت شماره یک برای هر کارمند قرار داد. اکنون، نزدیک به شش ماه پس از آنکه ساتیا نادلا، مدیرعامل مایکروسافت به همه کارمندانش گفت که امنیت باید در اولویت باشد، غول نرمافزاری گزارش پیشرفت خود را منتشر کرده است.
ردموندی ها ابتکار آینده امن (SFI) خود را در نوامبر 2023 راه اندازی کردند. چند ماه قبل از اینکه هیئت بررسی امنیت سایبری ایالات متحده به این نتیجه برسد که “فرهنگ امنیتی مایکروسافت ناکافی است و نیاز به بازنگری دارد.” بررسی سریع مایکروسافت را واقعاً درگیر کرد و امروز اعلام کرد که 34000 مهندس تمام وقت بر روی SFI کار می کنند که بزرگترین پیشرفت امنیتی در تاریخ مایکروسافت است.
حدود یک ماه پیش، مایکروسافت تلاش های امنیتی خود را به ارزیابی عملکرد کارکنان گره زد. اکنون هر کارمند این شرکت بر اساس عملکرد امنیتی خود مورد قضاوت قرار می گیرد. در ماههای اخیر، مایکروسافت یک سری پیشرفتها را در فرآیندهای امنیتی خود در نتیجه SFI انجام داده است.
مایکروسافت اکنون بیش از 99 درصد زیرساخت شبکه خود را از طریق یک سیستم مرکزی ردیابی می کند که به سازگاری و ثبت سیستم عامل کمک می کند. مایکروسافت همچنین گزارش های حسابرسی خود را بهبود بخشیده است تا حداقل برای دو سال نگهداری شود.
تیمهای مهندسی در مایکروسافت اکنون دسترسی توکنهای شخصی خود را به تنها هفت روز کاهش دادهاند، دسترسی SSH (راهدور) را به تمام مخازن مهندسی داخلی غیرفعال کردهاند، و تعداد گروههایی را با سطوح دسترسی به سیستمهای کلیدی کاهش دادهاند.
مایکروسافت در گذشته به دلیل مدت زمانی که برای پاسخگویی به مسائل امنیتی لازم است مورد انتقاد قرار گرفته بود و اکنون این شرکت CVE (آسیب پذیری های امنیتی) را حتی زمانی که هیچ اقدامی از طرف مشتری برای افزایش شفافیت لازم نیست منتشر می کند.
تغییر فرآیندهای مهندسی و فرهنگ امنیتی مایکروسافت کار آسانی نیست، به خصوص زمانی که این شرکت دارای 100000 مهندس، طراح و مدیر پروژه است که هر روز بر بیش از 500000 مورد کاری تمرکز می کنند.
مایکروسافت استانداردهای جدیدی را با استفاده از رویکرد “درست شروع کنید، درست بمانید و درست انجام دهید” را پیاده سازی می کند. “شروع درست” به این معنی است که پروژه ها از استانداردها و سیاست های امنیتی پیروی می کنند. “Stay Right” تضمین می کند که پروژه ها نظارت می شوند و “Do Right” برای نظارت بر وضعیت انطباق مایکروسافت طراحی شده است.
مایکروسافت یک شورای حکومت داری سایبری جدید ایجاد کرده و 13 معاون CISO (افسران ارشد امنیت داده) را منصوب کرده است که چهار نفر از آنها استخدام جدید و 9 نفر از مدیران مجرب مایکروسافت هستند.
مایکروسافت در ژانویه 2024 (روز و بهمن 1402) یک آکادمی آموزشی امنیت سایبری راه اندازی کرد که به همه کارکنان اهمیت امنیت در کارهای روزانه را آموزش می دهد. این آموزش مداوم، ارزیابی عملکرد و نظارت بر تیم رهبری ارشد مایکروسافت قطعا فشار بیشتری را بر کارمندان وارد میکند تا بر امنیت تمرکز کنند.