لدى كل موظف Microsoft الآن مقياسًا مدهشًا “Priority Core Priority” المرتبط مباشرة بمراجعات الأداء. هذا هو من بين التغييرات التي وضعتها عملاق البرمجيات لفرض الأمن داخليًا.
في منشور مدونة تحدد الخطوات التي اتخذتها الشركة لتصلب الأمن الداخلي ، تشارلز بيل، كتب نائب الرئيس التنفيذي لشركة Microsoft Security: “نريد أن يفهم كل شخص في Microsoft دوره في الحفاظ على سلامة عملائنا ولدينا الأدوات اللازمة للتصرف بشأن هذه المسؤولية.”
وقال إن 50000 موظف شاركوا في أكاديمية Microsoft Security لتحسين مهاراتهم الأمنية وأن 99 ٪ من الموظفين أكملوا أسس الشركة الأمنية ودورات قانون الثقة.
في مايو 2024 ، قدمت Microsoft هيكل الحوكمة لتحسين رؤية المخاطر والمساءلة. منذ ذلك الحين ، قالت بيل إن Microsoft قامت بتعيين نائب مسؤول أمن المعلومات (CISO) لتطبيقات الأعمال والمسؤولية الموحدة عبر Microsoft 365 وأقسام التجارب والأجهزة. وقال: “لقد أكمل جميع نائب CISO الـ 14 عبر Microsoft مخزون المخاطر وتحديد الأولويات” ، مضيفًا أن هذا يخلق عرضًا مشتركًا لمخاطر الأمان على مستوى المؤسسة.
وقال بيل إن السياسات الجديدة ، ونماذج الكشف القائمة على السلوك وطرق التحقيق ساعدت في إحباط 4 مليارات دولار في محاولات الاحتيال.
أحد الأمثلة على مكان استخدام النمذجة في منع مهاجم حصل على إمكانية الوصول إلى نظام واحد من الانتقال إلى أنظمة أخرى داخل شبكة الشركة. يمكن أن تكون نمذجة أصول تكنولوجيا المعلومات باستخدام رسم بياني مفيدًا في منع المهاجمين من الانتقال بنجاح إلى أصول تكنولوجيا المعلومات الأخرى بمجرد تعرض النظام للخطر. قالت Microsoft إن نمذجة أصول تكنولوجيا المعلومات كرسوم بيانية تكشف عن نقاط الضعف غير المعروفة وفئات القضايا المعروفة التي يجب تخفيفها لتقليل ما تصفه بأنه “متجهات الحركة الجانبية”.
حسبها تقرير التقدم في أبريل 2025، اتخذت Microsoft خطوات “مهمة” في تبني مجموعة مطور برامج قياسية للهوية وضمان أن 100 ٪ من حسابات المستخدمين مقاومة لهجمات التصيد المتعددة (MFA). ومع ذلك ، من بين المجالات التي لا تزال تعمل عليها هي حماية مفاتيح توقيع التشفير والبنية التحتية للمفتاح العام الآمن في الكم (PKI).
لحماية أنظمة الإنتاج عالية المخاطر ، قالت Microsoft إنه في نوفمبر 2024 ، نقلت 28000 مستخدم مخاطر عالية ، يعملون على سير عمل حساس ، إلى قفل مغلق. Azure افتراضية سطح المكتب البنية التحتية ، وتعمل على تحسين تجربة المستخدم لنقاط النهاية هذه.
فيما يتعلق بحماية الشبكة ، يوضح التقرير أن الشركة تعمل على تنفيذ تجزئة الشبكة الصغيرة عن طريق إعادة التنفيذ قوائم التحكم في الوصول.
“حاليًا ، 20 ٪ من IPS من الطرف الأول [internet protocols] وقالت Microsoft: “تم وضع علامة على 93 ٪ من خدمات الطرف الأول وضعت خططًا لتخصيص IPS من النطاقات الموسومة وقدرة IP لتوفير”.
وأضاف أنه يقدم أيضًا إمكانات جديدة لمساعدة العملاء على عزل وتأمين موارد الشبكة الخاصة بهم. وتشمل هذه محيط أمان الشبكة ، وتمديدات أمان DNS ووضع Azure Bastion Premium الخاص فقط.
فيما يتعلق بممارسات تطوير البرمجيات الداخلية ، قالت Microsoft إنها تقود أربعة معايير للمساعدة في ضمان برامج المصادر المفتوحة (OSS) المستخدمة في بيئات الإنتاج الخاصة بها من الخلاصات الداخلية المحكومة وخالية من نقاط الضعف العامة المعروفة والعالية الشديدة.
في التقرير ، قالت Microsoft حوكمة المكونات ، أ تحليل تكوين البرمجيات الأداة التي تتبع استخدام OSS ونقاط الضعف في OSS ، حققت اعتماد واسع ويتم تمكينه افتراضيًا. كما أنه يحتوي على عرض يسمى خدمة الأعلاف المركزية ، والذي يوفر خلاصات محكومة لاستهلاك البرامج مفتوحة المصدر. وفقا لميكروسوفت ، وصلت هذا إلى اعتماد واسع.
