Siber Muhbir

Redmond, geçmişin ünlü Güvenilir Bilgi İşlem hamlesine benzeyen bir hareketle, daha hızlı bulut yamaları, kimlik imzalama anahtarlarının daha iyi yönetimi ve daha yüksek bir varsayılan güvenlik çubuğuna sahip yazılım gönderme taahhüdü vaat eden yeni bir 'Güvenli Gelecek Girişimi' ile bir dizi utanç verici saldırıya yanıt veriyor.

Microsoft Güvenlik başkan yardımcısı Charlie Bell, yeni SFI yaklaşımını duyuran bir notta, yazılım devinin siber saldırılardaki en son eğilimleri hesaba katmak için asırlık Yazılım Geliştirme Yaşam Döngüsü'nü (SDL) yenileyeceğini söyledi.

Bell, Microsoft'un kurucusu Bill Gates'in, şirketin yıkıcı Windows solucan saldırılarına yol açan güvenlik sorunlarını ortadan kaldırma misyonunu belgeleyen 2002 tarihli ufuk açıcı notundaki sözlerini yineleyerek, "İlk öncelik varsayılan olarak güvenliktir" dedi.

Bugün Microsoft, ABD hükümetinin e-postalarının çalınmasına yol açan ve bir ABD senatörünün Microsoft'u "siber güvenlik ihmali" ile suçlamasına neden olan bir uzlaşma olan amiral gemisi M365 bulut platformunun büyük bir hack'inden sarsılıyor.

İmzalama anahtarlarının utanç verici bir şekilde yanlış yönetilmesinden kaynaklanan M365 saldırısı, İç Güvenlik Bakanlığı'nın Siber Güvenlik İnceleme Kurulu (CSRB) tarafından soruşturuluyor.

"Güvenliğin geleceğini etkilemek için en büyük fırsatlarımızı belirlemek için Microsoft'ta gördüklerimizi ve müşterilerden, hükümetlerden ve iş ortaklarından duyduklarımızı dikkatlice değerlendirdik. Yazılım geliştirmeyi dönüştürmeye, yeni kimlik korumaları uygulamaya ve daha hızlı güvenlik açığı yanıtı sağlamaya odaklanacağız" dedi.

Daha spesifik olarak Microsoft, kimlik imzalama anahtarlarını, imzalama anahtarlarının yalnızca bekleyen ve aktarım sırasında değil, aynı zamanda hesaplama işlemleri sırasında da şifrelendiği tümleşik, sağlamlaştırılmış bir Azure HSM ve gizli bilgi işlem altyapısına taşımayı planlıyor.

Bell, "Anahtar döndürme de otomatikleştirilecek ve herhangi bir insan erişimi potansiyeli olmadan yüksek frekanslı anahtar değişimine izin verilecek" dedi ve Çinli bir casusluk grubu tarafından yaklaşık 25 kuruluştan e-postaları çalmak için bir çökme dökümü hatasının nasıl kullanıldığına açık bir referans verdi.

AWS'de güvenlik alanında çalışan bir görevin ardından 2021'de Microsoft'ta güvenliğin kontrolünü ele geçiren Bell, şirketin tehdit modellemesini otomatikleştirmeye yardımcı olmak için yapay zekayı kullanacağını ve dil düzeyinde güvenlik oluşturmak ve tüm geleneksel yazılım güvenlik açıklarını ortadan kaldırmak için Rust gibi bellek açısından güvenli dilleri benimseyeceğini söyledi.

Bell, verileri uzaktaki bilgisayar korsanlarına maruz bırakan varsayılan bulut dağıtımlarının tehlikelerine bir selam vererek, SFI'nin dahili kiracılarımızda varsayılan olarak Azure kiracı temel denetimlerini (dokuz güvenlik alanında 99 denetim) otomatik olarak uygulamaya geçeceğini söyledi.

Hareketin, yapılandırma yönetimi için harcanan mühendislik süresini azaltacağını ve dağıtımdaki ayarlara uyulmasını ve otomatik olarak düzeltilmesini sağlayacağını söyledi. Bell, "Amacımız, hizmet kullanılabilirliğini etkilemeden yüzde 100 otomatik düzeltmeye geçmek" dedi.

Microsoft Güvenlik başkan yardımcısı ayrıca, bulut güvenlik açıklarını azaltmak için gereken süreyi yüzde 50 oranında azaltma ve "teknoloji sağlayıcıları tarafından gizlilik anlaşmaları altına sokulan üçüncü taraf araştırmacılara karşı daha açık bir duruş sergileme" sözü verdi.

"Güvenlik açıkları konusunda tam şeffaflık olmadan, güvenlik topluluğu toplu olarak öğrenemez - geniş ölçekte savunma, bir büyüme zihniyeti gerektirir. Microsoft şeffaflığa bağlıdır ve her büyük bulut sağlayıcısını aynı yaklaşımı benimsemeye teşvik edecektir" dedi.

Microsoft, bulut ürünlerinin üçüncü taraf güvenlik açığı araştırmalarına yönelik kendi yaklaşımı nedeniyle yoğun eleştirilerle karşı karşıya kaldı ve hatalı ve eksik yamalar ve Windows sıfır gün saldırılarındaki artışla mücadele etmeye devam ediyor.

Şirket kısa süre önce, daha düşük seviyeli M365 müşterileri için günlük varsayılanlarını genişletmeyi ve tehdit avcılığı verileri için saklama süresini artırmayı planladığını duyurdu.