Microsoft hat einen ersten Fortschrittsbericht zu seiner "Secure Future Initiative" auf Grund der gravierenden Cybervorfälle im Unternehmen veröffentlicht. Der Bericht soll belegen, was Redmond im Hinblick auf die Sicherheit geplant und konkret bereits erreicht hat.
Anzeige
Secure Future Initiative
Microsoft wurde ja 2023 und 2024 durch einige erfolgreiche Cyberangriffe auf seine Infrastruktur getroffen. Ich hatte hier im Blog einige Beiträge dazu veröffentlicht (siehe Links am Artikelende).
Als Reaktion auf diese Vorfälle, bei denen die Microsoft Infrastruktur gehackt und Nachlässigkeiten Microsofts bekannt wurden, hat das Unternehmen die "Secure Future Initiative" zur Verbesserung der Sicherheit angekündigt (siehe Microsoft Ankündigung einer Secure Future Initiative).
Erster Sicherheitsbericht
Nun hat Microsoft dem "September 2024 Progress Report – Secure Future Initiative" veröffentlicht. Laut Bericht ist die "Secure Future Initiative" (SF) mit dem Einsatz von 34.000 Vollzeit-Ingenieuren das größte Projekt in der Geschichte der Cybersicherheitstechnik.
Die Sicherheit wird zu einer Hauptpriorität für alle Mitarbeiter, liest sich im Bericht – und Microsoft lässt Sicherheit in alle Leistungsbeurteilungen einfließen. Die Vergütung der leitenden Angestellten von Microsoft ist nun an die Sicherheitsleistung gebunden.
Anzeige
Im Juli 2024 ist eine Akademie gestartete, die ein spezielles Training für alle
Mitarbeiter bietet, um die Bedeutung der Sicherheit im täglichen Betrieb zu stärken. Ein leitendes Führungsteam von Microsoft prüft wöchentlich die Fortschritte von SFI und informiert vierteljährlich den Microsoft-Verwaltungsrat.
Der 25 Seiten umfassende PDF-Bericht macht jedem unvoreingenommenen Leser unmissverständlich klar, was Microsoft für eine tolle Firma ist, was man alles schon gelernt hat und wie die Sicherheit sich schon sprunghaft verbessert hat. Mir ist beim Überfliegen glatt die Luft weg geblieben – die tun was.
Ok, im Ernst – erinnert mich an die letzten Tage meiner Tätigkeit im unteren Management meines letzten Arbeitgebers vor fast 31 Jahren. Da wurden auch immer große Papers vom oberen Management verfasst, was man alles tolles zu machen gedenkt. The Verge hat sich durch den Text gekämpft und hier einige Highlights herausgezogen, was in Punkto Sicherheit bereits erreicht wurde.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt
Microsoft übt sich in Schadensbegrenzung bei Kongress-Anhörung (13.6.2024): Sicherheit habe Vorrang vor KI
Microsoft Ankündigung einer Secure Future Initiative
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen
Anzeige
Hauptpriorität ist PROFIT, sonst nichts!
Ist das echt oder ist das teilweise Comedy?
"Our engineering teams quickly dedicated the equivalent of 34,000 full-time engineers to address the highest priority security tasks—the largest cybersecurity engineering project in history."
Wie ist das zu verstehen? Microsoft hat ein ganzes Korps, schon fast eine Armee an Entwicklern abgestellt um die wichtigsten Sicherheitsprobleme anzugehen? Das sind nur "highest priority security" und dafür schon >34.000 Leute….
"Security added as a core priority for all employees"
Security added as priority klingt etwas…
"We completed a full iteration of app lifecycle management for all of our production and productivity tenants, eliminating 730,000 unused apps. We eliminated 5.75 million inactive tenants, drastically reducing the potential attack surface."
Ist zwar schön, dass die ehrlich sind. Jetzt ist auch klar, wofür man so viel Leute braucht.
Dass Microsoft die Sicherheit von Windows seit über 30 Jahren, mindestens aber seit Bill Bo^WGates vor 22 Jahren ein "Memo" https://news.microsoft.com/2012/01/11/memo-from-bill-gates/ an alle Kumpane verschickte um "Trustworthy Computing" zu starten, seeeehr ernst nimmt, lässt sich mit EINER Kommandozeile widerlegen:
REG.exe QUERY HKLM /D /F "%*%\\" /S
Die ca. 20000 Treffer zeigen alle Instanzen der wohlbekannten und wohldokumentierten Schwachstelle (d.h. BLUTIGER Anfängerfehler) https://cwe.mitre.org/data/definitions/73.html
"CWE-73: External Control of File Name or Path": Umgebungsvariablen kann jeder Benutzer nach Belieben ändern!
EINMAL mit Profis arbeiten…
C:\Users\xxxx>REG.exe QUERY HKLM /D /F „%*%\\" /S
End of search: 0 match(es) found.
Und jetzt? (Ausgeführt auf AD-Workstation, Mitgliedsserver und DC, jeweils Ergebnis gleich)
Jetzt mal mit geänderten ersten Anführungszeichen probieren, also mit C:\Users\xxxx>REG.exe QUERY HKLM /D /F "%*%\\" /S statt C:\Users\xxxx>REG.exe QUERY HKLM /D /F „%*%\\" /S