Microsoft, bu yılın başında tüm çalışanlarına güvenliği en önemli öncelik olarak belirlemişti. Yıllar süren güvenlik sorunlarının ardından ABD Siber Güvenlik İnceleme Kurulu’ndan gelen sert bir raporun ardından şirket, güvenlik konusunda önemli adımlar atmaya başladı. Yaklaşık altı ay önce Microsoft CEO’su Satya Nadella, güvenliğin her şeyden önce gelmesi gerektiğini vurgulamış ve bu kapsamda şirketin gelişimine dair ilk raporunu paylaştı.
2023 Kasım ayında başlatılan Güvenli Gelecek Girişimi (SFI), ABD Siber Güvenlik İnceleme Kurulu’nun Microsoft’un güvenlik kültürünü yetersiz bulduğu raporunun hemen ardından hayata geçirildi. Bu sert rapor, Microsoft’u harekete geçirdi ve bugün itibarıyla şirketin SFI kapsamında 34 bin tam zamanlı mühendise eşdeğer bir ekip oluşturduğu açıklandı. Bu, Microsoft tarihinde gerçekleştirilen en büyük siber güvenlik mühendisliği hamlesi oldu.
Her çalışan, performans değerlendirmelerinde güvenlik çalışmaları temel alınarak değerlendiriliyor. Son aylarda şirket, SFI’nın bir parçası olarak güvenlik süreçlerinde birçok iyileştirme gerçekleştirdi.
Microsoft, Entra ID ve Microsoft Hesap (MSA) sistemlerini güncelleyerek, Azure yönetimli donanım güvenlik modülleriyle erişim belirteci imzalama anahtarlarını otomatik olarak üretip döndürebiliyor. Ayrıca, saldırı yüzeyini azaltmak amacıyla 5,75 milyon inaktif kiracı kaldırıldı. Şirket, test süreçlerinde güvenli varsayılan ayarları kullanarak eski sistemlerin güvenlik sorunlarına yol açmasını önlemeye çalışıyor.
Microsoft ayrıca fiziksel ağlarının yüzde 99’undan fazlasını merkezi bir envanter sistemiyle izlemeye başladı. Bu sistem, donanım yazılımı uyumluluğu ve kayıt tutma süreçlerine yardımcı oluyor. Kayıtlar artık en az iki yıl boyunca saklanıyor.
Şirket, mühendislik ekiplerinde kişisel erişim belirteçlerinin geçerlilik süresini yedi güne indirirken, SSH erişimi tüm iç mühendislik havuzları için devre dışı bırakıldı. Ayrıca, ana mühendislik sistemlerine erişimi olan grup sayısı da azaltıldı.
Microsoft geçmişte güvenlik sorunlarına yanıt vermede yavaş kalmakla eleştirilmişti. Şirket, şimdi müşterilerin herhangi bir işlem yapmasını gerektirmese bile şeffaflığı artırmak adına CVE’leri yayınlamaya başladı.
Microsoft’un mühendislik süreçlerini ve güvenlik kültürünü dönüştürmek kolay değil. Şirketin 100 bin mühendis, tasarımcı ve proje yöneticisi her gün 500 bin iş öğesi üzerinde çalışıyor ve ayda 5 milyon yapı oluşturuluyor.
Microsoft, yeni standartları “Doğru Başla, Doğru Kal, Doğruya Ulaş” yaklaşımıyla uyguluyor. “Doğru Başla,” projelerin şablonlar, politikalar ve self-servis araçlar aracılığıyla güvenlik standartlarına uymasını sağlıyor. “Doğru Kal,” projelerin izlenmesini ve ilgili politika uygulamalarını içeriyor. “Doğruya Ulaş” aşaması ise Microsoft’un uyumluluk durumunu izlemek için kullanılıyor.
Microsoft Siber Güvenlik Yönetişim Konseyi oluşturdu
Şirket ayrıca yeni bir Siber Güvenlik Yönetişim Konseyi oluşturdu ve dört yeni ismin de dahil olduğu 13 yeni baş CISO yardımcısını atadı. Bu isimler arasında:
- Damon Becknel, düzenleyici endüstrilerden sorumlu başkan yardımcısı ve CISO yardımcısı.
- Geoff Belknap, kurumsal başkan yardımcısı ve çekirdek birleşmeler ile devralmalardan sorumlu CISO yardımcısı.
- Shawn Bowen, oyun departmanından sorumlu başkan yardımcısı ve CISO yardımcısı.
- Timothy Langan, hükümetten sorumlu kurumsal başkan yardımcısı ve CISO yardımcısı.
Diğer dokuz başkan yardımcısı ise şirketin deneyimli yöneticilerinden oluşuyor. Microsoft’un kıdemli liderlik ekibi, SFI’nin ilerleyişini haftalık olarak inceliyor ve bu konuda yönetim kuruluna üç ayda bir güncellemeler sağlıyor.
Temmuz ayında başlatılan güvenlik eğitim akademisi ise çalışanlara günlük operasyonlarda güvenliğin önemini pekiştiren eğitimler sunuyor. Bu devam eden eğitimler, performans değerlendirmeleri ve kıdemli liderlik ekibinin denetimi, çalışanlar üzerinde güvenliğe daha fazla odaklanma baskısı yaratıyor. Ancak Microsoft, güvenliği yeniden yapılandırarak kaybettiği güveni kazanma yolunda uzun bir süreçle karşı karşıya.
Microsoft Güvenlik Başkanı Charlie Bell, “Şeffaflık ve sektör iş birliği konusundaki taahhüdümüz değişmedi” diyerek, güvenliğin bir özellik değil, temel olduğunu vurguluyor.