Secure Future Initiative (SFI) milik Microsoft tampaknya dalam kondisi baik dan terus mengalami kemajuan yang pesat dalam mengatasi sejumlah masalah inti yang menyebabkan raksasa perangkat lunak itu dikritik habis-habisan oleh politisi Amerika, menurut sebuah laporan kemajuan.
Microsoft meluncurkan SFI pada bulan November 2023, setelah terlibat dalam serangkaian insiden keamanan besar yang menargetkan teknologinya – termasuk kerentanan ProxyLogon dan ProxyShell Microsoft Exchange Server yang dimanfaatkan oleh geng ransomware, dan intrusi oleh pelaku ancaman Tiongkok Storm-0558 yang menargetkan pelanggan pemerintah dengan memalsukan token akses.
Setelah serangan Storm-0558, Redmond dituduh melakukan kelalaian langsung oleh Washington DC, dan setelah insiden tambahan, termasuk serangan Januari 2024 di mana penyerang SolarWinds Sunburst Cozy Bear menyusup ke sistemnya, laporan yang memberatkan oleh Dewan Peninjauan Keamanan Siber AS (CSRB) mendorong peningkatan lebih lanjut pada program tersebut.
Dalam ringkasan laporan, wakil presiden eksekutif keamanan Microsoft Charlie Bell menegaskan kembali komitmen Microsoft terhadap keamanan, dengan mengatakan bahwa kemajuan yang konsisten jauh lebih penting daripada kesempurnaan, yang tercermin dalam skala sumber daya yang telah dikerahkan Microsoft untuk melayani SFI – yang merupakan salah satu proyek cyber terbesar dalam sejarah, dengan jumlah pekerja setara 34.000 teknisi penuh waktu yang mengerjakannya.
“Kerja kolektif yang kami lakukan untuk terus meningkatkan perlindungan, menghilangkan aset lama atau yang tidak patuh, dan mengidentifikasi sistem yang tersisa untuk pemantauan secara meyakinkan mengukur keberhasilan kami,” katanya.
“Seiring dengan masa depan, kami tetap berkomitmen untuk terus melakukan perbaikan,” kata Bell. “SFI akan terus berkembang, beradaptasi dengan ancaman baru, dan menyempurnakan praktik keamanan kami. Komitmen kami terhadap transparansi dan kolaborasi industri tetap teguh.
“Pekerjaan yang telah kami lakukan sejauh ini hanyalah permulaan,” katanya. “Kami tahu bahwa ancaman siber akan terus berkembang, dan kami harus berkembang bersamanya. Dengan memupuk budaya pembelajaran dan perbaikan berkelanjutan ini, kami tengah membangun masa depan di mana keamanan bukan sekadar fitur, tetapi fondasi.”
Enam pilar
Inti dari Microsoft SFI terletak pada enam pilar utama, yang dijabarkan sebagai berikut:
- Perlindungan identitas dan rahasia menggunakan standar terbaik di kelasnya dan siap kuantum;
- Perlindungan dan isolasi semua penyewa dan sistem produksi Microsoft;
- Perlindungan jaringan produksi Microsoft, dan isolasi sumber daya Microsoft dan pelanggan;
- Perlindungan sistem rekayasa, yang meliputi aset perangkat lunak, keamanan kode, dan tata kelola rantai pasokan perangkat lunak;
- Pemantauan dan deteksi ancaman, menyediakan cakupan komprehensif dan deteksi otomatis ancaman terhadap infrastruktur produksi Microsoft;
- Percepatan respons dan perbaikan terhadap kerentanan, mengurangi waktu untuk mitigasi bug tingkat tinggi, serta meningkatkan pesan publik dan transparansi.
Pada yang pertama, Bell menyoroti pembaruan pada Microsoft Entra ID dan Microsoft Account untuk cloud publik dan pemerintah guna menghasilkan, menyimpan, dan merotasi kunci penandatanganan token akses, serta meningkatnya adopsi kit pengembangan perangkat lunak identitas standar untuk validasi token yang konsisten, yang sekarang mencakup lebih dari 73% token yang diterbitkan oleh Entra ID di seluruh aplikasi Microsoft.
Pada tahap kedua, Microsoft telah menyelesaikan iterasi penuh manajemen siklus hidup aplikasi di seluruh aset penyewa produksi dan produktivitasnya, dan telah menghilangkan 730.000 perangkat lunak hingga saat ini yang tidak lagi digunakan oleh siapa pun. Hampir enam juta penyewa yang tidak aktif juga telah ditutup secara diam-diam, yang selanjutnya mengurangi permukaan serangan. Sementara itu, sistem baru untuk menyederhanakan pengaturan penyewa pengujian dan eksperimen, dengan default yang aman dan kontrol manajemen masa pakai yang ketat, kini telah diterapkan.
Pada yang ketiga, lebih dari 99% aset fisik pada jaringan produksi Microsoft kini tercatat dalam inventaris pusat, dan jaringan virtual yang memerlukan konektivitas backend telah diisolasi dari jaringan perusahaan Microsoft dan kini tengah menjalani tinjauan keamanan lengkap untuk membantu menghilangkan pergerakan lateral, jika ada orang yang bersembunyi di sana yang seharusnya tidak ada. Bagi pelanggan, Microsoft juga telah memperluas kapabilitas platform, seperti Aturan Admin, untuk mempermudah pengisolasian sumber daya platform-sebagai-layanan.
Beralih ke pilar keempat, lebih dari 85% alur produksi untuk cloud komersial Microsoft kini menggunakan templat alur yang diatur secara terpusat, yang seharusnya membuat penerapan lebih mudah dan, yang terpenting, lebih dapat dipercaya.
Sementara itu, masa pakai Token Akses Pribadi telah dipotong menjadi seminggu, dan akses SSH untuk semua repo rekayasa internal Microsoft telah dinonaktifkan, sementara jumlah yang dibutuhkan untuk peran tingkat tinggi untuk mengakses sistem rekayasa telah dikurangi secara signifikan. Microsoft juga menerapkan pemeriksaan bukti kehadiran di berbagai titik penting dalam alur pengembangannya.
Pada pilar kelima, pemantauan dan pendeteksian ancaman, Microsoft mengatakan telah membuat kemajuan “signifikan” dalam menegakkan pustaka standar untuk log audit keamanan di seluruh infrastruktur dan layanan produksinya untuk memancarkan telemetri yang relevan, sementara periode penyimpanan untuk log ini sekarang minimal hingga dua tahun. Dikatakan lebih dari 99% dari semua perangkat jaringan sekarang diaktifkan dengan pengumpulan dan penyimpanan log terpusat.
Terakhir, terkait respons dan perbaikan, Microsoft melaporkan bahwa mereka kini telah memperbarui proses untuk meningkatkan waktu guna mengatasi kerentanan cloud yang kritis, dan juga telah mulai menerbitkan kerentanan cloud yang kritis sebagai CVE meskipun pelanggan sebenarnya tidak perlu melakukan apa pun. Mereka juga mendirikan Kantor Manajemen Keamanan Pelanggan untuk melayani pesan dan keterlibatan publik.
Budaya keamanan
Namun Microsoft tidak berencana berhenti di situ, dan hari ini juga mengumumkan serangkaian inisiatif yang dirancang untuk meningkatkan cara karyawannya berperilaku aman, dan bereaksi secara tepat terhadap insiden.
Di antaranya adalah peluncuran Dewan Tata Kelola Keamanan Siber dan penunjukan wakil kepala petugas keamanan informasi (CISO) untuk fungsi siber utama dan divisi teknik, yang dipimpin oleh CISO Igor Tsyganskiy, yang akan bertanggung jawab atas keseluruhan risiko, pertahanan, dan postur kepatuhan Microsoft.
Ke depannya, terungkap pula bahwa setiap karyawan di seluruh organisasi kini akan berkomitmen dan bertanggung jawab untuk memenuhi persyaratan inti dunia maya dalam tinjauan kinerja mereka, dan membantu mereka dalam prosesnya dengan pembuatan program akademi keterampilan keamanan internal.
Sementara itu, tim kepemimpinan senior kini telah diberi tugas untuk meninjau kemajuan SFI setiap minggu dan memberikan informasi terkini kepada dewan direksi setiap tiga bulan, dengan kinerja keamanan mereka kini terhubung langsung dengan gaji mereka.
![Jordan Mason meninggalkan pertandingan Minggu ke-6 karena sambungan AC terkilir, sehari-hari [UPDATE]](https://i2.wp.com/cdn.vox-cdn.com/thumbor/l7tByi4LV3NvTv-3fh3hlpIhSU0=/0x0:2438x1276/fit-in/1200x630/cdn.vox-cdn.com/uploads/chorus_asset/file/25670380/2177869859.jpg?w=1200&resize=1200,0&ssl=1 "Jordan Mason meninggalkan pertandingan Minggu ke-6 karena sambungan AC terkilir, sehari-hari [UPDATE]")