Microsoft mengumumkan kemajuan dalam pembaruan keamanan setelah peretas Tiongkok menggunakan kerentanan keamanan untuk meretas email pemerintah tahun lalu.
Perusahaan senilai $3 triliun ini telah melakukan perbaikan besar untuk memastikan alat verifikasi identitasnya lebih aman. Hal ini terjadi setelah kelompok peretas Tiongkok yang dikenal sebagai Storm-0558 menggunakan kerentanan yang terabaikan di layanan email cloud Microsoft untuk mengakses akun ribuan pegawai pemerintah AS pada Juli 2023.
Kini, Wakil Presiden Eksekutif Keamanan Microsoft, Charlie Bell, telah menjelaskan langkah-langkah keamanan baru di dalamnya Entri blog umumDengan tujuan mencegah kelompok lain melakukan hal serupa lagi.
CEO Microsoft Satya Nadella mengonfirmasi dalam sebuah pernyataan kepada X bahwa keamanan adalah “prioritas utama” perusahaan.
Keamanan adalah prioritas utama kami, dan kami berbagi kemajuan kami dalam melindungi keamanan siber Microsoft, pelanggan kami, dan industri.
– Satya Nadella (@satyanadella) 23 September 2024
Pembaruan keamanan apa yang telah dilakukan Microsoft?
Peningkatan baru mencakup pembuatan, penyimpanan, dan rotasi kunci penandatanganan token secara otomatis untuk akun pemerintah dan sektor publik AS di cloud, dengan kunci ini kini disimpan di “Modul Perangkat Keras Aman” milik pelanggan. Ini akan membuat hampir mustahil bagi akun lain untuk mengaksesnya.
Selain itu, Microsoft juga telah membatasi kode akses untuk karyawan internal hingga tujuh hari, yang berarti bahwa meskipun penjahat berhasil mendapatkannya, hal ini tidak akan membantu dalam mendapatkan akses ilegal ke akun tersebut. Yang terakhir, perusahaan menghapus sekitar 730.000 aplikasi yang tidak digunakan dari akun pengguna, dan juga menghapus 5,75 juta pengguna tidak aktif. Kelompok peretas diketahui menggunakan akun atau aplikasi yang tidak aktif untuk membahayakan keamanan perusahaan.
Microsoft mengonfirmasi bahwa tindakan ini bukanlah tindakan sementara, melainkan merupakan bagian dari peningkatan keamanan berkelanjutan yang sedang dilakukan perusahaan.
“Dalam keamanan, kemajuan berkelanjutan lebih penting daripada ‘kesempurnaan’, dan ini tercermin dalam jumlah sumber daya yang dikerahkan untuk mencapai tujuan SFI kami,” tulis Bell. “Kerja sama tim yang kami lakukan untuk terus meningkatkan perlindungan, menghilangkan aset-aset yang sudah ketinggalan zaman atau tidak patuh, dan mengidentifikasi sistem pemantauan yang tersisa dengan jelas mengukur keberhasilan kami. Saat kami menatap masa depan, kami tetap berkomitmen untuk terus melakukan perbaikan.”
Dengan menempatkan tindakan di balik kata-kata, perusahaan juga menghubungkan kinerja keamanan dengan kompensasi para pemimpin senior dan tinjauan kinerja seluruh karyawan. Akademi Keterampilan Keamanan yang baru diluncurkan bertujuan untuk meningkatkan pelatihan yang berfokus pada keamanan internal bagi seluruh karyawan Microsoft.
Gambar unggulan: Hapus percikan
Pos Microsoft meluncurkan peningkatan keamanan besar-besaran setelah skandal peretasan email di Tiongkok pertama kali diterbitkan di ReadWrite.
