أكبر تحول أمني على الإطلاق لشركة Microsoft تم تفصيله في تقرير جديد
جعلت Microsoft الأمن أولويتها الأولى لكل موظف في وقت سابق من هذا العام، بعد سنوات من المشكلات الأمنية وتقرير لاذع من مجلس مراجعة السلامة السيبرانية الأمريكي. بعد ما يقرب من ستة أشهر من إخبار الرئيس التنفيذي لشركة Microsoft، ساتيا ناديلا، للشركة بأكملها أنه يجب إعطاء الأولوية للأمن قبل كل شيء، تقدم شركة البرمجيات العملاقة تقريرًا عن التقدم الذي أحرزته.
أطلقت مايكروسوفت لأول مرة مبادرة المستقبل الآمن (SFI) في نوفمبر 2023، قبل أشهر قليلة من استنتاج مجلس مراجعة السلامة السيبرانية الأمريكي أن “الثقافة الأمنية لشركة مايكروسوفت لم تكن كافية وتتطلب إصلاحًا شاملاً”. لقد دفعت هذه المراجعة اللاذعة شركة Microsoft إلى العمل بالفعل، وتكشف الشركة اليوم أن لديها الآن ما يعادل 34000 مهندسًا بدوام كامل يعملون في SFI، مما يجعلها أكبر جهد هندسي للأمن السيبراني على الإطلاق داخل Microsoft.
يتم الآن تقييم كل موظف في مايكروسوفت بناءً على عمله الأمني، بعد أن ربطت الشركة جهودها الأمنية بمراجعات أداء الموظفين الشهر الماضي. وفي الأشهر الأخيرة، أكملت Microsoft أيضًا سلسلة من التحسينات على عملياتها الأمنية نتيجة لـ SFI.
قامت Microsoft بتحديث أنظمة Entra ID وMicrosoft Account (MSA) الخاصة بها لإنشاء مفاتيح توقيع رمز الوصول وتخزينها وتدويرها تلقائيًا باستخدام وحدة أمان الأجهزة المُدارة بواسطة Azure. كما تم القضاء على 5.75 مليون مستأجر غير نشط لتقليل الأسطح الهجومية. تستخدم Microsoft الآن أيضًا نظامًا جديدًا للاختبار يحتوي على إعدادات افتراضية آمنة لتجنب تسبب الأنظمة القديمة في حدوث مشكلات أمنية في المستقبل.
تقوم Microsoft الآن بتتبع أكثر من 99 بالمائة من شبكتها الفعلية في نظام جرد مركزي يساعد في امتثال البرامج الثابتة وتسجيلها. قامت Microsoft بتحسين سجلات التدقيق الخاصة بها للاحتفاظ بالسجلات لمدة عامين على الأقل أيضًا.
تم الآن تقليص رموز الوصول الشخصية للفرق الهندسية داخل Microsoft إلى سبعة أيام فقط، وتم تعطيل الوصول إلى SSH لجميع عمليات إعادة الشراء الهندسية الداخلية، وتم تقليل عدد الأشخاص الذين لديهم إمكانية الوصول إلى الأنظمة الهندسية الرئيسية.
وقد تعرضت مايكروسوفت لانتقادات بسبب مقدار الوقت الذي تستغرقه للرد على المشكلات الأمنية في الماضي، وتقوم الشركة الآن بنشر التهديدات الشائعة “حتى لو لم يكن هناك حاجة إلى اتخاذ إجراء من جانب العميل، لتحسين الشفافية”.
إن تحويل العمليات الهندسية وثقافة الأمان في Microsoft ليس بالمهمة السهلة، خاصة عندما يكون لدى الشركة 100000 مهندس ومصمم ومدير مشروع يعملون على أكثر من 500000 عنصر عمل كل يوم و5 ملايين بناء كل شهر.
تقوم Microsoft بتنفيذ معايير جديدة باستخدام نهج “ابدأ بشكل صحيح، وابق على الطريق الصحيح، واحصل على الحق”. يضمن “البدء الصحيح” التزام المشاريع بمعايير الأمان باستخدام القوالب والسياسات وأدوات الخدمة الذاتية. ثم يتأكد برنامج “ابق على حق” من وجود مراقبة للمشاريع وتنفيذ السياسات ذات الصلة. الجزء الأخير هو “Get Right”، وهو مصمم لشركة Microsoft لمراقبة حالة امتثالها.
أنشأت شركة البرمجيات العملاقة أيضًا مجلسًا جديدًا لإدارة الأمن السيبراني وعينت 13 نائبًا لرؤساء أقسام تكنولوجيا المعلومات، أربعة منهم من الموظفين الجدد في Microsoft:
- دامون بيكنيل، نائب الرئيس ونائب رئيس أمن المعلومات، الصناعات المنظمة: انضم Becknel إلى Microsoft في يوليو، بعد أن شغل منصب كبير مسؤولي أمن المعلومات في ID.me وHorizon Blue Cross Blue Shield.
- جيف بيلكناب، نائب رئيس الشركة ونائب رئيس أمن المعلومات، الأساسي وعمليات الدمج والاستحواذ: عمل Belknap سابقًا كرئيس تنفيذي لتكنولوجيا المعلومات في LinkedIn المملوكة لشركة Microsoft وكان أيضًا رئيسًا لتكنولوجيا المعلومات في Slack وCSO في Palantir.
- شون بوين، نائب الرئيس ونائب رئيس أمن المعلومات للألعاب: أمضى بوين 27 عامًا في مناصب هندسية وأمنية، بما في ذلك العمل كرئيس تنفيذي لأمن المعلومات في World Kinect واستخبارات مشاة البحرية الأمريكية.
- تيموثي لانجان، نائب رئيس الشركة ونائب رئيس أمن المعلومات بالحكومة: وأمضى لانغان أكثر من 26 عامًا في مكتب التحقيقات الفيدرالي قبل انضمامه إلى مايكروسوفت في يوليو، حيث غطى التحقيقات السيبرانية والجنائية وغيرها من العمليات في الوكالة الأمريكية.
النواب التسعة الآخرون لكبار مسؤولي تكنولوجيا المعلومات هم مجموعة متنوعة من المديرين التنفيذيين المخضرمين في Microsoft الذين لديهم عقود من الخبرة في الشركة، بما في ذلك الزميل التقني مارك روسينوفيتش، الذي تم تعيينه نائبًا لكبير مسؤولي تكنولوجيا المعلومات في Azure إلى جانب دوره الحالي في Azure CTO. يقوم فريق القيادة العليا في Microsoft الآن بمراجعة تقدم SFI أسبوعيًا ويقدم تحديثات لمجلس إدارة Microsoft ربع سنوي حول التقدم.
وأخيرا، أطلقت مايكروسوفت أكاديمية المهارات الأمنية في يوليو/تموز، والتي تتضمن تدريب جميع الموظفين لتعزيز “أهمية الأمن في العمليات اليومية”. من المؤكد أن هذا التدريب المستمر ومراجعات الأداء والإشراف على فريق القيادة العليا في Microsoft يضغط على الموظفين للتركيز بشكل أكبر على الأمان أكثر من أي وقت مضى، لكن Microsoft لا تزال على طريق طويل لاستعادة الثقة ووضع العناوين الرئيسية حول سجلها الأمني في مرآة الرؤية الخلفية.
يقول تشارلي بيل، رئيس قسم الأمن في Microsoft: “إن التزامنا بالشفافية والتعاون في مجال الصناعة يظل ثابتًا”. “من خلال تعزيز ثقافة التعلم المستمر والتحسين، فإننا نبني مستقبلًا لا يكون فيه الأمان مجرد ميزة، بل أساسًا.”