11.11.2023
1 хв
1407
Microsoft переглядає свою стратегію кібербезпеки під назвою Future Security Initiative, щоб інтегрувати ключові функції безпеки в свій основний набір технологічних платформ і хмарних служб.
План було створено після негативної реакції уряду та промисловості на Microsoft після крадіжки урядом електронних листів із Державного департаменту США. Ключові члени Конгресу та федеральні чиновники критикували Microsoft через побоювання, що компанія змушує федеральні агентства покладатися на програмні продукти, які не мають функцій безпеки, необхідних для захисту від досвідчених зловмисників.
Пов’язана з позовом відмова Державного департаменту полягає в тому, що Microsoft стягує з клієнтів плату за додаткові та важливі функції безпеки.
Корпорація Майкрософт планує ввімкнути параметри безпеки за замовчуванням, щоб клієнтам не доводилося керувати кількома конфігураціями, щоб забезпечити захист продуктів від хакерів.
Наприклад, Microsoft за замовчуванням розгорне Azure Core Controls, який включає 99 елементів керування в дев’яти доменах безпеки.
«Що зараз інше, так це те, що масштаби, швидкість і витонченість ландшафту загроз змінилися, і ми повинні впоратися з цим викликом», — йдеться в заяві Microsoft Cybersecurity Dive. «Майкрософт передбачала ці кроки та ретельно працювала над ними, враховуючи їх масштаб і складність».
Компанія змінить спосіб розробки програмного забезпечення за допомогою автоматизації та ШІ. Це сприятиме розробці програмного забезпечення, яке є безпечним за задумом і за замовчуванням як з точки зору того, як воно розгортається, так і як воно працює.
Компанія розвиватиме свій життєвий цикл розробки безпеки (SDL) до того, що вона називає динамічним SDL. Корпорація Майкрософт інтегрує безперервну інтеграцію та безперервну доставку (CI/CD) у свій процес розробки продукту, щоб можливості розвивалися разом із розвитком загроз.
Microsoft розроблятиме програмне забезпечення з використанням безпечних для пам’яті мов, включаючи C#, Java, Rust і Python. Компанія розширить використання моделювання загроз і впровадження CodeQL для аналізу коду на всі свої комерційні продукти.
Зміни охоплюють весь спектр технологій, від ідентичності до хмари. Корпорація Майкрософт розгорне використання стандартної бібліотеки ідентифікаційних даних у всіх продуктах, а ключі підпису будуть перенесені в апаратні інструменти безпеки Azure та чутливу ІТ-інфраструктуру.
Компанія заявила, що скоротить час, необхідний для усунення вразливостей у хмарі, на 50% і займе більш тверду публічну позицію, щоб сторонні дослідники не були змушені діяти згідно з цими угодами. Погодьтеся не розголошувати інформацію.
На думку аналітиків, враховуючи значну ринкову силу компанії, така зміна в політиці розробки може спонукати інші компанії, що займаються програмним забезпеченням і безпекою, також прискорити впровадження практик безпечної розробки.
«Одна перевага бути Microsoft: оголошення мають величезний хвилевий ефект, який залежить від величезної кількості клієнтів і партнерів», — сказав Джефф Поллард, віце-президент і головний аналітик Forrester. «Тим не менш, у цьому є явний маркетинговий елемент, враховуючи нещодавні вразливості».
Ініціатива “Secure Future Initiative” від Microsoft є значним кроком вперед у сфері кібербезпеки. Ця ініціатива підкреслює необхідність адаптації до постійно змінюваного цифрового ландшафту і встановлює нові стандарти для розробки програмного забезпечення та управління кіберзагрозами.
