مايكروسوفت مبادرة مستقبل آمن يبدو أن شركة مايكروسوفت (SFI) تتمتع بصحة جيدة، وتحرز تقدماً ثابتاً نحو معالجة بعض القضايا الجوهرية التي أدت إلى إقالة السياسيين الأميركيين للشركة العملاقة في مجال البرمجيات، وفقاً لتقرير تقدمي.
أطلقت شركة Microsoft مبادرة SFI في نوفمبر 2023، بعد أن تورطت في سلسلة من الحوادث الأمنية البارزة التي استهدفت تقنيتها – بما في ذلك ProxyLogon وProxyShell نقاط ضعف Microsoft Exchange Server التي استغلتها عصابات برامج الفدية، وعمليات الاختراق التي قام بها برنامج التهديد الصيني Storm-0558 والتي استهدفت عملاء الحكومة عن طريق تزوير رموز الوصول.
في أعقاب هجمات Storm-0558، اتُهم ريدموند بالإهمال الصريح من قبل واشنطن العاصمة، وبعد حوادث إضافية، بما في ذلك هجوم يناير 2024 الذي هاجم فيه مهاجمو SolarWinds Sunburst Cozy Bear تسلل إلى أنظمتها، دفع تقرير مدمر صادر عن مجلس مراجعة السلامة السيبرانية في الولايات المتحدة (CSRB) تحسينات إضافية للبرنامج.
وفي ملخص التقرير، أكد نائب الرئيس التنفيذي للأمن في مايكروسوفت تشارلي بيل التزام مايكروسوفت بالأمن، قائلاً إن التقدم المستمر كان أكثر أهمية بكثير من الكمال، وهو ما انعكس في حجم الموارد التي حشدتها مايكروسوفت في خدمة SFI – والذي يعد إلى حد ما أحد أكبر المشاريع السيبرانية في التاريخ، مع ما يعادل 34000 مهندس بدوام كامل يعملون عليه.
وقال “إن العمل الجماعي الذي نقوم به لزيادة الحماية بشكل مستمر، والقضاء على الأصول القديمة أو غير الممتثلة وتحديد الأنظمة المتبقية للمراقبة يقيس نجاحنا بشكل قاطع”.
وقال بيل: “مع تطلعنا إلى المستقبل، نظل ملتزمين بالتحسين المستمر. وستواصل SFI التطور والتكيف مع التهديدات الجديدة وتحسين ممارساتنا الأمنية. ويظل التزامنا بالشفافية والتعاون مع الصناعة ثابتًا.
وقال “إن العمل الذي قمنا به حتى الآن ليس سوى البداية. ونحن نعلم أن التهديدات السيبرانية سوف تستمر في التطور، وعلينا أن نتطور معها. ومن خلال تعزيز ثقافة التعلم والتحسين المستمر، فإننا نبني مستقبلاً حيث لا يكون الأمن مجرد ميزة، بل هو الأساس”.
ستة أعمدة
يعتمد جوهر مبادرة Microsoft SFI على ستة ركائز أساسية، وهي:
- حماية الهويات والأسرار باستخدام أفضل المعايير الجاهزة للكميات؛
- حماية وعزل جميع المستأجرين وأنظمة الإنتاج الخاصة بشركة Microsoft؛
- حماية شبكات إنتاج مايكروسوفت، وعزل موارد مايكروسوفت والعملاء؛
- حماية الأنظمة الهندسية، بما في ذلك الأصول البرمجية، وأمن الكود، وحوكمة سلسلة توريد البرمجيات؛
- مراقبة التهديدات واكتشافها، وتوفير تغطية شاملة واكتشاف تلقائي للتهديدات التي تواجه البنية التحتية لإنتاج Microsoft؛
- تسريع الاستجابة للثغرات الأمنية ومعالجتها، وتقليل الوقت اللازم للتخفيف من حدة الأخطاء عالية الخطورة وتحسين الرسائل العامة والشفافية.
وفي الأول من هذه الأحداث، سلط بيل الضوء على التحديثات التي تم إجراؤها على Microsoft Entra ID وMicrosoft Account للسحابة العامة والحكومية لتوليد وتخزين وتدوير مفاتيح توقيع رمز الوصول، والاعتماد المتزايد على مجموعات تطوير برامج الهوية القياسية للتحقق من صحة الرمز بشكل متسق، والتي تغطي الآن أكثر من 73% من الرموز الصادرة عن Entra ID عبر تطبيقات Microsoft.
وفي الوقت نفسه، أكملت مايكروسوفت عملية تكرار كاملة لإدارة دورة حياة التطبيقات عبر مستأجريها من الإنتاج والإنتاجية، وأزالت 730 ألف قطعة من البرامج حتى الآن لم يعد أحد يستخدمها. كما تم التخلص بهدوء من ما يقرب من ستة ملايين مستأجر غير نشط، مما قلل بشكل أكبر من سطح الهجوم. وفي الوقت نفسه، تم الآن تنفيذ نظام جديد لتبسيط إعداد مستأجري الاختبار والتجريب، مع إعدادات افتراضية آمنة وضوابط إدارة صارمة مدى الحياة.
أما في ما يتصل بالثالثة، فقد تم تسجيل أكثر من 99% من الأصول المادية على شبكة إنتاج مايكروسوفت في جرد مركزي، كما تم عزل الشبكات الافتراضية التي تحتاج إلى اتصال خلفي عن شبكة مايكروسوفت المؤسسية، وهي الآن تخضع لمراجعات أمنية كاملة للمساعدة في القضاء على الحركة الجانبية، في حال وجود أي شخص مختبئ هناك ولا ينبغي له ذلك. وبالنسبة للعملاء، قامت مايكروسوفت أيضًا بتوسيع قدرات المنصة، مثل قواعد المسؤول، لتسهيل عزل موارد المنصة كخدمة.
بالانتقال إلى الركيزة الرابعة، فإن أكثر من 85% من خطوط أنابيب بناء الإنتاج للسحابة التجارية لشركة Microsoft تستخدم الآن قوالب خطوط أنابيب خاضعة للإدارة المركزية، وهو ما من شأنه أن يجعل النشر أسهل، والأهم من ذلك، أكثر موثوقية.
وفي الوقت نفسه، تم تقليص عمر رموز الوصول الشخصية إلى أسبوع واحد، وتم تعطيل الوصول عبر SSH لجميع مستودعات الهندسة الداخلية في Microsoft، في حين تم تقليص العدد المطلوب للأدوار العليا للوصول إلى أنظمة الهندسة بشكل كبير. كما نفذت Microsoft أيضًا فحص إثبات الحضور في مراحل مهمة مختلفة في تدفقات التطوير الخاصة بها.
وفيما يتعلق بالركيزة الخامسة، وهي مراقبة التهديدات واكتشافها، قالت مايكروسوفت إنها أحرزت تقدماً “كبيراً” في فرض المكتبات القياسية لسجلات التدقيق الأمني عبر البنية التحتية للإنتاج والخدمات لإصدار القياس عن بعد ذي الصلة، في حين أن فترة الاحتفاظ بهذه السجلات تصل الآن إلى عامين على الأقل. وقالت إن أكثر من 99% من جميع أجهزة الشبكة أصبحت الآن قادرة على جمع السجلات والاحتفاظ بها بشكل مركزي.
أخيرًا، فيما يتعلق بالاستجابة والإصلاح، أفادت مايكروسوفت أنها قامت الآن بتحديث العمليات لتحسين الوقت اللازم للتخفيف من حدة الثغرات الأمنية الحرجة في السحابة، كما بدأت في نشر الثغرات الأمنية الحرجة في السحابة باعتبارها ثغرات أمنية خطيرة حتى لو لم يكن العملاء في حاجة فعلًا إلى القيام بأي شيء. كما أنشأت مكتب إدارة أمان العملاء لخدمة الرسائل العامة والمشاركة.
ثقافة الأمن
ولكن مايكروسوفت لا تخطط للتوقف عند هذا الحد، حيث أعلنت اليوم أيضًا عن سلسلة من المبادرات المصممة لتحسين كيفية تصرف موظفيها بشكل آمن، والرد بشكل مناسب على الحوادث.
ومن بين هذه التغييرات إطلاق مجلس حوكمة الأمن السيبراني وتعيين نواب لمسؤولي أمن المعلومات الرئيسيين للوظائف السيبرانية الرئيسية وأقسام الهندسة، بقيادة مسؤول أمن المعلومات إيغور تسيغانسكي، والذي سيتولى مسؤولية إدارة المخاطر والدفاع والامتثال بشكل عام في مايكروسوفت.
وفي المستقبل، كشفت الشركة أيضًا أن كل موظف في جميع أنحاء المنظمة سيلتزم الآن وسيتحمل المسؤولية عن تلبية المتطلبات الأساسية للأمن السيبراني في مراجعات أدائه، كما تساعدهم على طول الطريق من خلال إنشاء برنامج أكاديمية مهارات الأمن الداخلي.
وفي الوقت نفسه، تم تكليف فريق القيادة العليا الآن بمراجعة تقدم SFI أسبوعيًا وتقديم تحديثات لمجلس الإدارة كل ثلاثة أشهر، حيث تم الآن ربط أداءهم الأمني بمرتباتهم بشكل مباشر.
