Cyber Security

ابتکار آینده امن مایکروسافت (SFI): گزارش دوم

Posted on by SSO Plus
ابتکار آینده امن مایکروسافت (SFI): گزارش دوم
22
آوریل

فهرست مطالب

ابتکار آینده امن مایکروسافت (SFI): گزارش دوم درباره کارهایی که برای امنیت بیشتر انجام داده‌ایم

ابتکار آینده امن مایکروسافت (SFI) بزرگترین کاری است که مایکروسافت تا به حال برای امنیت سایبری انجام داده است. در ۱۱ ماه گذشته، ما به اندازه ۳۴ هزار مهندس تمام‌وقت برای کاهش خطرات و رسیدگی به مهم‌ترین کارهای امنیتی وقت گذاشته‌ایم. این دومین گزارشی است که نشان می‌دهد در این مسیر چندساله برای امن‌تر کردن مایکروسافت، مشتریان و کل صنعت چقدر پیشرفت کرده‌ایم.

ما در مورد اینکه چطور همه کارمندان به امنیت اهمیت بدهند و چگونه ریسک‌های امنیتی را در سراسر شرکت مدیریت کنیم، بهتر عمل کرده‌ایم.

برای اینکه بهتر از مشتریانمان محافظت کنیم، تیم‌های مختلف مایکروسافت در حال ساخت چیزهای جدیدی هستند که با اصول امنیتی ما همخوانی دارند. مثلاً، یک ابزار جدید ساختیم به نام “جعبه ابزار تجربه کاربری با طراحی امن” که به ۲۰ تیم محصول داده‌ایم، ۲۲ هزار کارمند آموزش دیده‌اند و آن را برای همه منتشر کرده‌ایم. این ابزار به تیم‌ها کمک می‌کند تا امنیت را از همان اول در ساخت محصولاتشان در نظر بگیرند و نتایج خوبی هم داشته است. این جعبه ابزار شامل راهکارها، کارت‌های آموزشی و ابزارهایی است که به تیم‌ها کمک می‌کند قابلیت‌های امنیتی بسازند، مشکلات امنیتی را پیدا کنند و کارهای مهم‌تر را اولویت‌بندی کنند.

ما همچنین در تمام بخش‌های مهندسی پیشرفت کرده‌ایم: امنیت حساب‌های کاربری (هویت) را قوی‌تر کرده‌ایم، جلوی حرکت هکرها بین شبکه‌ها و بخش‌های مختلف را گرفته‌ایم، بهتر می‌توانیم تهدیدات سایبری را پیدا کنیم و به آن‌ها پاسخ دهیم و با بقیه شرکت‌ها همکاری کرده‌ایم تا از مشتریان در برابر حملات جدید (zero days) محافظت کنیم. این پیشرفت‌ها باعث شده‌اند که محصولات امنیتی مایکروسافت (Microsoft Entra, Microsoft Defender و Microsoft Purview) بهتر شوند و به محافظت از مشتریان و خود مایکروسافت کمک کنند.

برای محافظت بهتر از کلیدهای مهمی که برای امضای کدهایمان استفاده می‌کنیم، در سپتامبر ۲۰۲۴ اعلام کردیم که این کلیدها را به جای امن‌تری منتقل کرده‌ایم که از سخت‌افزار و فناوری‌های امنیتی پیشرفته استفاده می‌کند و کلیدها به صورت خودکار عوض می‌شوند. از آن زمان، ما لایه‌های حفاظتی بیشتری اضافه کرده‌ایم، بر اساس تحقیقات تیم‌های داخلی خودمان. سرویس امضای حساب‌های کاربری مایکروسافت را به کامپیوترهای مجازی امن‌تر در آژور منتقل کرده‌ایم و در حال انتقال سرویس مشابه برای Entra ID هستیم. هر کدام از این کارها به کاهش راه‌هایی که هکرها ممکن است برای حمله استفاده کنند، کمک می‌کند، مثلاً حمله‌ای که در سال ۲۰۲۳ علیه مایکروسافت انجام شد.

ما همچنین بهتر می‌توانیم تهدیدات سایبری را پیدا کنیم و به آن‌ها پاسخ دهیم. بیش از ۲۰۰ روش جدید برای شناسایی حملات مختلف اضافه کرده‌ایم که در محصولات Microsoft Defender هم قرار خواهند گرفت. با کمک محققان امنیتی، ۱۸۰ مشکل امنیتی را در بخش‌های حساس مانند سرویس‌های ابری و هوش مصنوعی قبل از اینکه مشکلی ایجاد کنند، پیدا کرده‌ایم. همچنین برنامه‌مان را برای رفع سریع‌تر مشکلات امنیتی گسترش داده‌ایم تا محصولات و محیط‌های بیشتری را پوشش دهد.

نکات مهم گزارش کامل SFI را می‌توانید در ادامه ببینید:

امنیت از همان ابتدا (Secure by Design)، امنیت پیش‌فرض (Secure by Default) و امنیت در کارها (Secure in Operations)

در این گزارش، مثال‌هایی از کارهایی که برای امن‌تر کردن همه چیز از همان اول انجام داده‌ایم، آورده شده است:

  • “جعبه ابزار تجربه کاربری با طراحی امن” که قبلاً گفتیم و به تیم‌ها کمک می‌کند تا برنامه‌های امن‌تر و راحت‌تری بسازند.
  • ۱۱ قابلیت امنیتی جدید در محصولات مختلف مایکروسافت که باعث می‌شوند امنیت به صورت پیش‌فرض بهتر باشد.
  • اضافه کردن بررسی‌های امنیتی و ایمنی خاص در فرآیندهای ساخت هوش مصنوعی توسط تیم‌های متخصص.
  • استفاده از روش‌های عملیاتی امن در تمام سیستم‌های هوش مصنوعی، همانطور که در گزارش مربوط به هوش مصنوعی مسئولانه توضیح داده شده است.
  • سیاست‌ها و روش‌های جدیدی که جلوی ۴ میلیارد دلار تلاش برای کلاهبرداری را گرفته‌اند.

این پیشرفت‌ها به محافظت از مشتریان ما و خود مایکروسافت کمک می‌کنند.

فرهنگ امنیت‌محور، در سراسر شرکت

امنیت از انسان‌ها شروع می‌شود. در سال گذشته، کاری کرده‌ایم که همه در شرکت، از مهندسان گرفته تا تیم‌های پشتیبانی، به امنیت اهمیت بدهند.

  • هر کارمند مایکروسافت حالا یک هدف اصلی در کارش دارد که به امنیت مربوط می‌شود و مستقیماً روی ارزیابی عملکردش تأثیر می‌گذارد.
  • ۵۰ هزار کارمند در “آکادمی امنیت مایکروسافت” شرکت کرده‌اند تا مهارت‌های امنیتی خود را بهتر کنند.
  • ۹۹ درصد کارمندان دوره‌های آموزشی اصلی امنیت را گذرانده‌اند.

این تغییر فقط برای رعایت قوانین نیست، بلکه برای این است که همه بدانند چطور می‌توانند در امن نگه داشتن مشتریان نقش داشته باشند و ابزارهای لازم برای این کار را داشته باشند.

مدیریت قوی‌تر ریسک در سطح شرکت

در می ۲۰۲۴، ساختار جدیدی را برای بهتر کردن شفافیت ریسک‌ها و مسئولیت‌پذیری معرفی کردیم. از آن زمان، بیشتر در این زمینه سرمایه‌گذاری کرده‌ایم:

  • یک مسئول ارشد جدید برای امنیت بخش برنامه‌های تجاری منصوب کرده‌ایم و مسئولیت‌های بخش‌های دیگر را هم ادغام کرده‌ایم.
  • تمام مسئولان امنیتی در بخش‌های مختلف مایکروسافت، ریسک‌های امنیتی را ارزیابی و اولویت‌بندی کرده‌اند و درک مشترکی از ریسک‌های کل شرکت ایجاد کرده‌اند.

این نوع ساختار برای یک شرکت بزرگ ضروری است و تضمین می‌کند که امنیت فقط در یک بخش متمرکز نیست، بلکه در تمام سازمان وجود دارد.

پیشرفت‌های قابل اندازه‌گیری در تمام بخش‌ها

ما در تمام بخش‌ها پیشرفت کرده‌ایم. از ۲۸ هدفی که داشتیم، پنج هدف در حال اتمام هستند، ۱۱ هدف پیشرفت زیادی داشته‌اند و در بقیه هم پیشرفت می‌کنیم. به لطف SFI، پلتفرم‌ها و خدمات ما امن‌تر شده‌اند و بهتر می‌توانیم تهدیدات سایبری را پیدا کنیم و به آن‌ها پاسخ دهیم.

  • حفاظت از هویت‌ها و اطلاعات حساس: امنیت حساب‌های کاربری و اطلاعات حساس را برای مایکروسافت و مشتریان بهتر کرده‌ایم.

    • لایه‌های حفاظتی جدید برای کلیدهای مهم امضا که قبلاً در جای امنی نگهداری می‌شدند. سرویس امضای حساب‌های کاربری مایکروسافت به کامپیوترهای مجازی امن منتقل شده است.
    • ۹۰ درصد از حساب‌های کاربری برای برنامه‌های مایکروسافت با ابزارهای امنیتی جدید تأیید می‌شوند.
    • ۹۲ درصد از حساب‌های کاربری کارمندان اکنون از روش‌های ورود به سیستم استفاده می‌کنند که در برابر حملات فیشینگ مقاوم‌تر هستند.

  • حفاظت از بخش‌های مختلف و جدا نگه داشتن سیستم‌های مهم: منابع قدیمی را حذف کرده‌ایم و سیستم‌ها را بهتر جدا کرده‌ایم تا جلوی حرکت هکرها را بگیریم.

    • بیش از ۸۸ درصد از منابع را به سیستم مدیریت جدید منتقل کردیم، در مجموع ۶.۳ میلیون بخش قدیمی را حذف کردیم و همه بخش‌های جدید اکنون به صورت خودکار در سیستم واکنش اضطراری ثبت می‌شوند.
    • از یک سیستم خودکار برای مدیریت برنامه‌های کاربردی در بخش عملیاتی استفاده می‌کنیم.
    • ورود به سیستم‌های مهم با ۴.۴ میلیون حساب کاربری مدیریت‌شده اکنون به مکان‌های شبکه خاصی محدود شده است.

  • حفاظت از شبکه‌ها: امنیت شبکه‌مان بهتر شده و ابزارهای جدیدی برای کمک به مشتریان در امن کردن شبکه‌هایشان ارائه کرده‌ایم.

    • بیش از ۹۹ درصد از دارایی‌های شبکه شناسایی شده‌اند و از استانداردهای امنیتی پیشرفته استفاده می‌کنند.
    • با جدا کردن و بخش‌بندی شبکه، لایه‌های امنیتی بیشتری اضافه کرده‌ایم.
    • چهار قابلیت امنیتی جدید برای مشتریان معرفی کردیم تا شبکه‌هایشان را امن‌تر کنند.

  • حفاظت از سیستم‌های مهندسی: امنیت سیستم‌هایی که برای ساخت، تست و انتشار کد استفاده می‌کنیم را بهتر کرده‌ایم.

    • ۹۹.۲ درصد از فرآیندهای توسعه و انتشار کد کاملاً شناسایی شده‌اند و در زمان ایجاد تأیید می‌شوند.
    • ۸۱ درصد از بخش‌های مهم کد با احراز هویت چند عاملی محافظت می‌شوند.
    • استفاده گسترده از سرویس‌هایی که به توسعه‌دهندگان در دسترسی امن به کدهای متن‌باز کمک می‌کنند.

  • نظارت و شناسایی تهدیدات: بهتر می‌توانیم تهدیدات سایبری را بررسی و شناسایی کنیم.

    • ۹۷ درصد از زیرساخت‌های عملیاتی ما به صورت مرکزی ردیابی می‌شوند.
    • تیم‌ها از استاندارد ما برای ثبت رویدادهای امنیتی استفاده می‌کنند که شامل نگهداری حداقل دو ساله اطلاعات است.
    • بیش از ۲۰۰ روش جدید برای شناسایی حملات مختلف اضافه کرده‌ایم که در Microsoft Defender هم قرار می‌گیرند.

  • تسریع پاسخ و رفع مشکلات: سریع‌تر به مشکلات امنیتی رسیدگی می‌کنیم و ارتباط با مشتریان در مورد مسائل امنیتی را بهتر کرده‌ایم.

    • ۷۳ درصد از مشکلات امنیتی در سرویس‌های ابری را در زمان کوتاه‌تر رفع کرده‌ایم و دامنه این برنامه را به طور قابل توجهی گسترش داده‌ایم.
    • محققان در پروژه‌ای ۱۸۰ مشکل امنیتی جدید را در بخش‌های حساس ابری و هوش مصنوعی شناسایی کردند که به ما کمک کرد قبل از اینکه مشکلی ایجاد کنند، آن‌ها را رفع کنیم.
    • فرآیندها و راهنماهای جدیدی برای بهتر کردن اطلاع‌رسانی به مشتریان در مورد رویدادهای امنیتی معرفی کردیم.

آینده‌ای از نوآوری امن

پیشرفت در امنیت سایبری همیشه در حال تغییر است. تهدیدات سایبری تکامل می‌یابند. فناوری تغییر می‌کند. ریسک‌های جدید ظاهر می‌شوند. اما هر کاری که برای امن‌تر کردن پلتفرم‌هایمان انجام می‌دهیم، سرمایه‌گذاری برای آینده‌ای امن‌تر برای مایکروسافت، مشتریانمان و همه است.

SFI راهکار ما برای مقابله با این چالش است. ما از اصول “اعتماد صفر” استفاده می‌کنیم، امنیت را از همان ابتدا در کارهای مهندسی در نظر می‌گیریم و آموخته‌هایمان را به اشتراک می‌گذاریم. کارهای بیشتری باید انجام دهیم و ما به این مسیر متعهد هستیم.

همچنین می‌دانیم که امنیت کاری تیمی است. برای پیشرفت با هم، نیاز به همکاری بین مشتریان، شرکا و کل صنعت داریم. به عنوان بخشی از تعهد ما به همه، افتخار می‌کنیم که از کارهایی مانند “تعهد امنیت در طراحی CISA” حمایت می‌کنیم و اعتقاد داریم که امنیت، پایه و اساس اعتماد است.

از اعتماد و همکاری شما سپاسگزاریم. بیایید با هم به ساختن آینده‌ای امن ادامه دهیم.

منبع : https://www.microsoft.com/en-us/security/blog/2025/04/21/securing-our-future-april-2025-progress-report-on-microsofts-secure-future-initiative/

SSO Plus

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *