أكبر تحول أمني على الإطلاق لشركة Microsoft يوضح بالتفصيل في تقرير جديد
جعلت شركة Microsoft الأمان على رأس قائمة أولوياتها لكل موظف في وقت سابق من هذا العامبعد سنوات من المشكلات الأمنية وتقرير لاذع من مجلس مراجعة السلامة السيبرانية في الولايات المتحدة. بعد ما يقرب من ستة أشهر من استقالة الرئيس التنفيذي لشركة مايكروسوفت ساتيا ناديلا، أخبر الشركة بأكملها أن الأمن يجب أن يكون له الأولوية فوق كل شيء، فإن شركة البرمجيات العملاقة تقديم تقرير حول تقدمها. أطلقت Microsoft مبادرة المستقبل الآمن (SFI) لأول مرة في نوفمبر 2023، قبل أشهر فقط من مجلس مراجعة السلامة السيبرانية بالولايات المتحدة تم الانتهاء “أن ثقافة الأمن في مايكروسوفت كانت غير كافية وتتطلب إصلاحًا شاملاً”. لقد دفعت هذه المراجعة اللاذعة مايكروسوفت إلى العمل بجدية، وتكشف الشركة اليوم أنها تمتلك الآن ما يعادل 34000 مهندس بدوام كامل يعملون نحو SFI، مما يجعلها أكبر جهد هندسي للأمن السيبراني على الإطلاق داخل Microsoft. يتم الآن الحكم على كل موظف في Microsoft على أساس عمله الأمني، بعد أن أعلنت الشركة عن نتائجها في عام 2011. ربطت جهودها الأمنية كما قامت مايكروسوفت في الأشهر الأخيرة بمراجعة أداء الموظفين، كما أكملت سلسلة من التحسينات لعمليات الأمان الخاصة بها نتيجة لمبادرة SFI. قامت مايكروسوفت بتحديث أنظمة Entra ID وMicrosoft Account (MSA) لتوليد وتخزين وتدوير مفاتيح توقيع رمز الوصول تلقائيًا باستخدام وحدة أمان الأجهزة المُدارة من Azure. كما تم القضاء على 5.75 مليون مستأجر غير نشط لتقليل أسطح الهجوم. تستخدم مايكروسوفت الآن أيضًا نظامًا جديدًا للاختبار يحتوي على إعدادات افتراضية آمنة لتجنب تسبب الأنظمة القديمة في حدوث صداع أمني في المستقبل. تتعقب مايكروسوفت الآن أكثر من 99 بالمائة من شبكتها المادية في نظام جرد مركزي يساعد في الامتثال للبرامج الثابتة وتسجيل الدخول. لقد قامت مايكروسوفت بتحسين سجلات التدقيق الخاصة بها للاحتفاظ بالسجلات لمدة لا تقل عن عامين أيضًا. لقد تم الآن تقليص رموز الوصول الشخصية لفرق الهندسة داخل مايكروسوفت إلى سبعة أيام فقط، وتم تعطيل وصول SSH لجميع مستودعات الهندسة الداخلية، وتم تقليل عدد المجموعات التي لديها حق الوصول إلى أنظمة الهندسة الرئيسية. لقد تعرضت مايكروسوفت لانتقادات بسبب الوقت الذي تستغرقه للرد على مشكلات الأمان في الماضي، والآن تنشر الشركة CVEs “حتى لو لم يكن هناك إجراء من جانب العميل مطلوبًا، لتحسين الشفافية”. إن تحويل عمليات الهندسة وثقافة الأمان في مايكروسوفت ليس بالمهمة السهلة، خاصة عندما يكون لدى الشركة 100000 مهندس ومصمم ومدير مشروع يعملون على أكثر من 500000 عنصر عمل كل يوم و 5 ملايين عملية بناء كل شهر. تطبق مايكروسوفت معايير جديدة باستخدام نهج “ابدأ بشكل صحيح، وابق على صواب، واحصل على الصواب”. يضمن “ابدأ بشكل صحيح” التزام المشاريع بمعايير الأمان باستخدام القوالب والسياسات وأدوات الخدمة الذاتية. ثم يتأكد “ابق على صواب” من وجود مراقبة على المشاريع وإنفاذ السياسات ذات الصلة. الجزء الأخير هو “Get Right”، والذي تم تصميمه لتتمكن Microsoft من مراقبة حالة امتثالها. كما أنشأت شركة البرمجيات العملاقة مجلس حوكمة الأمن السيبراني الجديد وعينت 13 نائبًا لمدير أمن المعلومات، أربعة منهم من الموظفين الجدد في Microsoft: دامون بيكنيل، نائب الرئيس ونائب مدير أمن المعلومات، الصناعات المنظمة: انضم بيكنيل إلى Microsoft في يوليو، بعد أن عمل كرئيس لأمن المعلومات في ID.me و Horizon Blue Cross Blue Shield. جيف بيلكناب، نائب الرئيس التنفيذي للشركة ونائب مدير أمن المعلومات، العمليات الأساسية والاندماجات والاستحواذ: شغل بيلكناب سابقًا منصب مدير أمن المعلومات في LinkedIn المملوكة لشركة Microsoft وكان أيضًا مدير أمن المعلومات في Slack ومدير أمن المعلومات في Palantir. شون بوين، نائب الرئيس ونائب مدير أمن المعلومات، الألعاب: قضى بوين 27 عامًا في أدوار الهندسة والأمن، بما في ذلك العمل كرئيس لأمن المعلومات في World Kinect و United States Marine Corps Intelligence. تيموثي لانجان، نائب الرئيس التنفيذي للشركة ونائب مدير أمن المعلومات، الحكومة: قضى لانجان أكثر من 26 عامًا في مكتب التحقيقات الفيدرالي قبل الانضمام إلى Microsoft في يوليو، حيث غطى الجرائم الإلكترونية والجنائية. إن نواب مدير أمن المعلومات التسعة الآخرون هم مجموعة متنوعة من المديرين التنفيذيين المخضرمين في مايكروسوفت الذين لديهم عقود من الخبرة في الشركة، بما في ذلك زميله التقني مارك روسينوفيتش، الذي تم تعيينه نائبًا لمدير أمن المعلومات في Azure إلى جانب دوره الحالي في Azure CTO. يقوم فريق القيادة العليا في Microsoft الآن بمراجعة تقدم SFI أسبوعيًا وتقديم تحديثات لمجلس إدارة Microsoft ربع سنويًا حول التقدم. أخيرًا، أطلقت Microsoft أكاديمية لتدريب المهارات الأمنية في يوليو، والتي تتضمن تدريبًا لجميع الموظفين لتعزيز “أهمية الأمان في العمليات اليومية”. هذا التدريب المستمر ومراجعات الأداء والإشراف على فريق القيادة العليا في Microsoft يفرض بالتأكيد ضغوطًا على الموظفين للتركيز على الأمان أكثر من أي وقت مضى، لكن Microsoft لا تزال على طريق طويل لتحقيق أهدافها. استعادة الثقة “ووضع العناوين الرئيسية حول سجلها الأمني في مرآة الرؤية الخلفية. “إن التزامنا بالشفافية والتعاون مع الصناعة يظل ثابتًا” يقول تشارلي بيل“من خلال تعزيز ثقافة التعلم والتحسين المستمر، فإننا نبني مستقبلًا حيث لا يكون الأمان مجرد ميزة، بل أساسًا.”
المصدر
