Volgens de website ArsTech­nica zijn de afgelopen paar jaar niet bepaald rooskleurig geweest voor de inspan­ningen van Micro­soft op het gebied van bevei­li­ging en privacy. Onder andere verkeerd gecon­fi­gu­reerde endpoints, malafide bevei­li­gings­cer­ti­fi­caten en zwakke wacht­woorden hebben geleid tot het bloot­stellen van of het risico lopen van gevoe­lige gegevens. Micro­soft heeft boven­dien forse kritiek gekregen van bevei­li­gings­on­der­zoe­kers, Ameri­kaanse overheden en toezicht­hou­dende instan­ties voor de manier waarop het heeft gerea­geerd op deze incidenten. Daarom lijkt het concern nu het salaris van (top)managers te gaan koppelen aan security-inspanningen.

De meest promi­nente van deze inbreuken betrof een in China geves­tigde hacker­groep genaamd Storm-0558, die vorig jaar de Azure-service van Micro­soft binnen­drong en meer dan een maand lang gegevens verza­melde voordat deze breach werd ontdekt en opgelost. Na maanden van ondui­de­lijk­heid maakte Micro­soft bekend dat een reeks bevei­li­gings­fouten Storm-0558 toegang gaf tot het account van een ingenieur, waardoor Storm-0558 gegevens kon verza­melen van 25 van de Azure-klanten van Micro­soft, waaronder Ameri­kaanse federale agent­schappen. In januari maakte Micro­soft bekend dat het opnieuw was gehackt, dit keer door de door de Russi­sche staat gespon­sorde hacker­groep Midnight Blizzard. De groep kon “een verou­derd niet-productie testte­nant-account” compro­mit­teren om toegang te krijgen tot de systemen van Micro­soft “voor maximaal twee maanden.”

Dit alles leidde tot een rapport (PDF) van de US Cyber Safety Review Board, waarin Micro­soft werd berispt voor zijn “ontoe­rei­kende” bevei­li­gings­cul­tuur, zijn “onjuiste openbare verkla­ringen” en zijn reactie op “voorkom­bare” bevei­li­gings­in­breuken. Om de zaken te proberen te keren, kondigde Micro­soft het “Secure Future Initi­a­tive” aan. Als onder­deel van die initi­a­tief heeft Micro­soft nu ook een reeks plannen en veran­de­ringen aan in zijn bevei­li­gings­prak­tijken aangekondigd. 

“We maken bevei­li­ging onze hoogste priori­teit bij Micro­soft, boven alles – boven alle andere functies,” schreef Micro­soft Security Execu­tive Vice Presi­dent Charlie Bell. “We breiden de reikwijdte van SFI uit, integreren de recente aanbe­ve­lingen van de CSRB evenals onze lessen uit Midnight Blizzard om ervoor te zorgen dat onze cyber­be­vei­li­gings­aanpak robuust blijft en zich aanpast aan het evolu­e­rende dreigingslandschap.”

Als onder­deel van deze wijzi­gingen zal Micro­soft ook het loon van zijn Senior Leader­ship Team deels afhan­ke­lijk maken van het al dan niet “voldoen aan onze bevei­li­gings­plannen en mijlpalen”, hoewel Bell niet speci­fi­ceerde hoeveel uitvoe­rend loon afhan­ke­lijk zou zijn van het behalen van die bevei­li­gings­doelen. Micro­soft beschrijft in zijn bericht drie bevei­li­gings­prin­cipes (‘secure by design’, ‘secure by default’ en ‘secure opera­tions’) en zes ‘bevei­li­gingspij­lers’ die bedoeld zijn om verschil­lende zwakke punten in de systemen en ontwik­ke­lings­prak­tijken van Micro­soft aan te pakken. Het bedrijf zegt van plan te zijn om 100 procent van al zijn gebrui­kers­ac­counts te bevei­ligen met ‘veilig beheerde, phishing­be­sten­dige multi­factor-authen­ti­catie’, ‘least-privi­lege access’ af te dwingen voor alle toepas­singen en gebrui­kers­ac­counts, netwerk­mo­ni­to­ring en ‑isolatie te verbe­teren, en alle systeem­be­vei­li­gings­logs minimaal twee jaar te bewaren, naast andere beloften. Micro­soft is ook van plan om nieuwe adjunct-Chief Infor­ma­tion Security Officers op verschil­lende enginee­ring­teams te plaatsen om hun voort­gang te volgen en hierover aan het uitvoe­rend team en de raad van bestuur te rapporteren.

Wat concrete oplos­singen betreft die Micro­soft al heeft geïmple­men­teerd, schrijft Bell dat Micro­soft “automa­ti­sche handha­ving van multi­factor-authen­ti­catie standaard heeft geïmple­men­teerd voor meer dan 1 miljoen Micro­soft Entra ID-tenants binnen Micro­soft”, 730.000 oude en/​of onvei­lige apps heeft verwij­derd, de bevei­li­gings­log­ging heeft uitge­breid, en de Common Weakness Enume­ra­tion (CWE) standaard heeft aange­nomen voor zijn bevei­li­gings­dis­clo­sures. Naast de publieke bevei­li­gings­be­loften van Bell heeft de website The Verge een interne memo gezien van Micro­soft CEO Satya Nadella waarin het commit­ment van het bedrijf aan bevei­li­ging opnieuw wordt benadrukt. Nadella zegt ook dat het verbe­teren van de bevei­li­ging priori­teit moet hebben boven het toevoegen van nieuwe functies, iets dat invloed kan hebben op de constante stroom van tweaks en veran­de­ringen die Micro­soft uitbrengt voor Windows 11 en andere software.

“De recente bevin­dingen van de Cyber Safety Review Board (CSRB) van het Depart­ment of Homeland Security met betrek­king tot de Storm-0558 cyber­aanval van de zomer van 2023 benadrukken de ernst van de bedrei­gingen waarmee ons bedrijf en onze klanten worden gecon­fron­teerd, evenals onze verant­woor­de­lijk­heid om ons te verde­digen tegen deze steeds geavan­ceer­dere bedrei­gings­ac­toren,” schrijft Nadella. “Als je voor de keuze staat tussen bevei­li­ging en een andere priori­teit, is je antwoord duide­lijk: Bevei­li­ging. In sommige gevallen betekent dit dat bevei­li­ging boven andere dingen moet worden gesteld die we doen, zoals het uitbrengen van nieuwe functies of het bieden van voort­du­rende onder­steu­ning voor legacy systemen.”

Foto: FlyD via Unsplash