Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft odważnie: od teraz ITsecurity będzie naszym najwyższym priorytetem, ważniejszym niż wszystkie „inne ficzery”.
W oryginale tytułowe stwierdzenie brzmi tak:
Microsoft plays a central role in the world’s digital ecosystem, and this comes with a critical responsibility to earn and maintain trust. We must and will do more. We are making security our top priority at Microsoft, above all else – over all other features
Bla bla bla – pomyślą niektórzy z Was. No to teraz Microsoft wyciąga z rękawa jockera oświadczając: od teraz bonusy pieniężne dla wyższego managementu mają być uzależnione od wykonania ustalonych przez Microsoft celów jeśli chodzi o bezpieczeństwo IT.
Skąd takie posunięcie? Otóż oświadczenie Microsoftu wskazuje między innymi na niedawny hack na Exchange Online, dokonany najpewniej przez rządowych hackerów z Chin. W wyniku tego hacku atakujący dostali w szczególności dostęp do skrzynek dość istotnych osób a mianowicie:
„senior United States government representatives working on national security matters”
Można więc podejrzewać, że ktoś w rządzie USA mocno się zdenerwował i stwierdził że pobłażliwe grożenie palcem już nie wystarcza…
W tym roku było również głośno o hacku samego Microsoftu – tym razem hackerzy uzyskali dostęp do skrzynek pocztowych pracowników – w tym wyższego kierownictwa / pracowników cyberbezpieczeństwa (tym razem wskazano rosyjskich hackerów rządowych):
Lista zmian, na którą decyduje się Microsoft jest naprawdę spora. Tutaj tylko 3 przykłady:
☑ Secure by design: bezpieczeństwo będzie brane pod uwagę na pierwszym miejscu jeśli chodzi o tworzenie produktów czy usług
☑ Secure by default: zabezpieczenia są włączone domyślnie, nie wymagają dodatkowej pracy i nie są opcjonalne
☑ Secure operations: zabezpieczenia i monitoring bezpieczeństwa będzie stale usprawniany, tak żeby wykrywać obecne i przyszłe zagrożenia
W szczególności Microsoft wskazuje na kilka zasad, które przydadzą się każdej firmie:
* 100% kont użytkowników zabezpieczonych MFA
* Segmentacja sieci
* Logi bezpieczeństwa dostępne przez 2 lata, odpowiednio bezpiecznie przechowywane
* Inwentaryzacja 100% wszystkiego co znajduje się w sieciach produkcyjnych (w tym wyrzucenie starych / niewspieranych systemów)
* Odpowiednie bezpieczeństwo wytwarzania oprogramowania (w szczególności bezpieczny dostęp do środowisk dev; 100% kodu, który idzie na produkcję ma spełniać security best practices; odpowiednie zabezpieczenia przed atakami supply chain)
~ms
najtrafniej opisuje tę wiadomość ostatnie słowo z zajawki: Bla…
Gdzie MS włoży soft to security zaraz leży i wiadomo to nie od dzisiaj
Przecież w korpo rządzi marketing. Wyczuli klimat i chwilę porobią marketing ma tym. A nadal będą się zajmować kolorkami ikonek bo to przecież widać, zamiast realnymi problemami…
A, czyli wcześniej nie było priorytetem. To by się zgadzało.
świat się kończy ;)
Łatwo to zrobić. Wezmą kernela, dorobią swój UI (ochydny i już i tak sklonkwany z linuxa) i gotowe. Bill Gate$ znow happy.
Gonienie króliczka po to żeby go gonić, a nie złapać.
To im się opłacało. Jak produkcja zbacdoorowanych urządzeń do momentu aż Chińczycy nadrobili zaległe zajęcia i zaczęli ich używać. Kiedyś to szyfrowanie wifi dla nich miało za dużo bitów. Ktoś kto chce wszystko kontrolować jak traci władzę i kontrolę to w końcu podpala „Rzym”. Król jest nagi tylko trzeba patrzeć przez pryzmat co już kontrolują a co jeszcze chcą i po co i kogo wystawiają na słupa i co mogą na niego mieć żeby skakał tak jak chcą i gadał to co chcą.
Miesiąc później: TotalRecall.
Microsoft zaczyna mieć naprawdę poważne kłopoty, bo rząd domaga się wyjaśnień. No i dochodzi do tego jeszcze to: https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers