.

A Microsoft deu uma volta da vitória hoje, elogiando os 34.000 engenheiros em tempo integral que dedicou à sua Secure Future Initiative (SFI) desde seu lançamento há quase um ano e tornando público seu primeiro relatório de progresso sobre os esforços para melhorar a segurança em seus produtos e serviços.

Como Registrar os leitores provavelmente se lembram de que o SFI foi lançado em novembro de 2023 após críticas generalizadas às falhas de segurança da Microsoft — a mais recente (na época) foi a de espiões chineses comprometendo dezenas de milhares de contas de e-mail hospedadas pela Microsoft pertencentes a funcionários do governo.

Isso foi antes de vir à tona que espiões do Kremlin invadiram a rede da Microsoft e roubaram o código-fonte por meio de uma conta que não tinha autenticação multifator (MFA) habilitada.

Em maio, a Microsoft reforçou a SFI depois que o relatório do Cyber ​​Safety Review Board criticou Redmond por uma “cascata” de “erros evitáveis” que tornaram o ataque chinês possível, e o Congresso convocou o presidente da Microsoft, Brad Smith, para testemunhar sobre os erros.

Na época, o CEO Satya Nadella e o vice-presidente executivo de segurança da Microsoft, Charlie Bell, fizeram promessas públicas de “priorizar a segurança acima de tudo”. Isso incluía vincular o desempenho da segurança cibernética aos planos de remuneração dos executivos seniores e incluir a segurança como uma “prioridade central” nas avaliações de desempenho de todos os funcionários.

No relatório de hoje, a Microsoft confirmou que ambas as coisas aconteceram.

Infelizmente, ainda não temos detalhes sobre quais executivos receberam aumentos – ou foram prejudicados – pelos esforços e progressos de infosec da empresa. Não temos nem certeza de como isso será medido e, então, acabará nos contracheques dos líderes seniores. O Registro pediu à Microsoft mais detalhes sobre esta parte do plano, mas a Microsoft se recusou a comentar mais.

Embora não esperemos ver as avaliações dos funcionários publicadas para todos verem, também não está claro como construir transparência e responsabilidade em torno desse compromisso. “Estabelecer a segurança como uma prioridade central no Employee Connects acelera o progresso geral do SFI da Microsoft ao encorajar todos os funcionários a manter a segurança cibernética como um princípio orientador e contribuir de maneiras alinhadas por meio de suas próprias equipes”, disse um porta-voz O Registro.

O relatório de Redmond observou que, para dar suporte a esse esforço, lançou a Microsoft Security Academy em julho. Esta é uma “experiência de aprendizado personalizada de treinamentos específicos de segurança e com curadoria para todos os funcionários do mundo”, nos disseram.

Os seis “pilares” de engenharia do SFI, no entanto, são um pouco mais fáceis de medir. Aqui está como Redmond diz que está se saindo nessas áreas:

  1. Proteja identidades e segredos: o Microsoft Entra ID e a Microsoft Account (MSA) para nuvens públicas e do governo dos EUA agora gerarão, armazenarão e girarão automaticamente as chaves de assinatura de token de acesso usando o serviço Azure Managed Hardware Security Module (HSM). Além disso, os SDKs de identidade padrão da Redmond, usados ​​para validar tokens de segurança, agora cobrem mais de 73% dos emitidos pelo Microsoft Entra ID para aplicativos de propriedade da Microsoft. Além disso, os ambientes de produção da Microsoft agora usam as chamadas credenciais “resistentes a phishing”, e 95% dos usuários internos foram configurados na verificação de usuário baseada em vídeo em ambientes de produtividade para garantir que não estejam compartilhando senhas.
  2. Proteja os inquilinos e isole os sistemas de produção: a Microsoft eliminou 730.000 aplicativos não utilizados e eliminou 5,75 milhões de inquilinos inativos. Ela também afirma ter “implantado mais de 15.000 novos dispositivos bloqueados prontos para produção nos últimos três meses”.
  3. Proteja redes: Redmond diz que registrou mais de 99% dos ativos físicos na rede de produção em um sistema de inventário central e isolou redes virtuais com conectividade de back-end da rede corporativa.
  4. Proteja os sistemas de engenharia: fomos informados de que 85% dos pipelines de construção de produção da Microsoft para sua nuvem comercial agora usam modelos de pipeline governados centralmente.
  5. Monitore e detecte ameaças: “Progresso significativo” foi feito para adotar bibliotecas padrão para logs de auditoria de segurança em todos os ambientes de produção. Isso inclui gerenciamento central e um período de retenção de log de dois anos. Mais de 99 por cento dos dispositivos de rede agora têm coleta e retenção de log de segurança c
4 views Jun 13, 2025
CyberPower altera patch controverso de enfraquecimento de senhas • st Boston Dynamics faz parceria com Assa Abloy para deixar os cães entrarem