A maior empresa de tecnologia do mundo tem um problema de segurança. Uma série de incidentes de segurança de alto perfil abalaram a Microsoft nos últimos anos, e um relatório contundente do Conselho de Revisão de Segurança Cibernética concluiu recentemente que “a cultura de segurança da Microsoft era inadequada e requer uma revisão”. Dentro da Microsoft, existe a preocupação de que os ataques possam prejudicar seriamente a confiança na empresa.
Fontes me disseram que as equipes de engenharia e segurança da Microsoft têm se esforçado para responder a novos ataques dos mesmos hackers patrocinados pelo Estado russo que estiveram por trás do incidente da SolarWinds. Conhecido como Nobelium ou Midnight Blizzard, o grupo de hackers conseguiu espionar as contas de e-mail de alguns membros da equipe de liderança sênior da Microsoft no ano passado e até roubar código-fonte recentemente.
Os ataques contínuos assustaram muitos dentro da Microsoft, e as equipes têm trabalhado para melhorar as defesas da Microsoft e tentar evitar novas violações, enquanto os hackers se debruçam sobre as informações que roubaram e tentam encontrar mais pontos fracos. A segurança é sempre um jogo de gato e rato, mas fica ainda mais difícil quando hackers espionam suas comunicações.
No entanto, essas são apenas as últimas de uma longa série de violações de segurança. Os hackers do governo chinês atacaram os servidores Microsoft Exchange com explorações de dia zero no início de 2021, permitindo-lhes aceder a contas de e-mail e instalar malware em servidores hospedados por empresas. No ano passado, hackers chineses violaram e-mails do governo dos EUA graças a uma exploração do Microsoft Cloud. O incidente permitiu que os hackers acessassem caixas de entrada de e-mail online de 22 organizações, afetando mais de 500 pessoas, incluindo funcionários do governo dos EUA que trabalham na segurança nacional.
Descrito como uma “cascata de falhas de segurança” pelo Conselho de Revisão de Segurança Cibernética dos EUA, o ataque de e-mail do governo dos EUA no ano passado era “evitável”, segundo o conselho. Ele também descobriu que uma série de decisões dentro da Microsoft contribuíram para “uma cultura corporativa que despriorizou os investimentos em segurança empresarial e o gerenciamento rigoroso de riscos”. A Microsoft ainda não tem 100% de certeza de como uma chave foi roubada para permitir que hackers chineses falsificassem tokens e acessassem caixas de entrada de e-mail altamente confidenciais.
A principal resposta da Microsoft a estes ataques tem sido a sua nova Secure Future Initiative (SFI), uma revisão da forma como concebe, constrói, testa e opera o seu software e serviços. Revelado em novembro, antes da revelação da espionagem de e-mail russa, o SFI deveria ser a maior mudança nos esforços de segurança da Microsoft desde que a empresa lançou seu Ciclo de Vida de Desenvolvimento de Segurança (SDL) em 2004. O próprio SDL foi uma resposta ao devastador worm Blaster que caiu Máquinas com Windows XP em 2003 e levou a empresa a um foco maior na segurança.
Publicamente, vimos muito pouco desta nova Iniciativa Futuro Seguro, mas nos bastidores, a Microsoft está muito preocupada em perder a confiança dos clientes. Em uma conferência interna de liderança no início deste mês, tanto o CEO da Microsoft, Satya Nadella, quanto o presidente Brad Smith, falaram sobre a necessidade de priorizar a segurança acima de tudo, segundo fontes. O medo nos níveis mais altos da Microsoft é que a confiança esteja sendo corroída por essas questões de segurança e que, como resultado, ela terá que reconquistar a confiança de seus clientes.
Entendo que os líderes de engenharia da Microsoft agora estão priorizando a segurança em vez de novos recursos ou enviando produtos mais rapidamente. Isso ocorre poucas semanas depois que o Conselho de Revisão de Segurança Cibernética disse que a Microsoft deveria “despriorizar o desenvolvimento de recursos em toda a infraestrutura de nuvem e conjunto de produtos da empresa até que melhorias substanciais de segurança sejam feitas”.
Tanto a IA quanto a segurança são agora os dois maiores focos dentro da Microsoft, disseram-me, especialmente porque a rápida implementação de tecnologias de IA pela empresa introduz ainda mais possíveis dores de cabeça de segurança. À medida que mais e mais clientes da Microsoft migram para a nuvem e adotam a IA, a necessidade de segurança aumenta. A Microsoft construiu um negócio de segurança de US$ 20 bilhões como resultado dessa mudança na nuvem, mas é em grande parte baseado na venda adicional de segurança além das assinaturas existentes.
A repórter de longa data da Microsoft, Mary Jo Foley, pediu à Microsoft que “pare de vender segurança como uma oferta premium” no início desta semana. Foley destaca como certas ferramentas de segurança estão disponíveis apenas como complementos nas assinaturas do Microsoft 365 e que alguns clientes anteriormente não conseguiam ver as principais informações de registro que poderiam ter permitido a detecção de incidentes como resultado.
É um sentimento que é ecoado pelo ex-diretor sênior de política cibernética da Casa Branca, AJ Grotto. “Se você voltar ao episódio SolarWinds de alguns anos atrás… [Microsoft] foi essencialmente aumentar a capacidade de exploração madeireira para agências federais”, disse Grotto em entrevista ao O registro recentemente. “Como resultado, foi muito difícil para as agências identificarem sua exposição à violação da SolarWinds.”
A Microsoft respondeu às reclamações sobre as informações de registro aumentando o tempo de disponibilidade dos registros de 90 para 180 dias no ano passado, mas as organizações ainda precisam escolher assinaturas mais caras do Microsoft 365 E5 se quiserem a maioria dos recursos de segurança e conformidade da Microsoft.
Mesmo quando a Microsoft teve que revelar que hackers russos roubaram código-fonte recentemente, dias depois, a empresa anunciou que começaria a vender seu Copilot for Security com preços pré-pagos. O chatbot generativo de IA foi projetado para profissionais de segurança cibernética para ajudá-los a se proteger contra ameaças, mas as empresas terão que pagar US$ 4 por hora de uso se quiserem usar o modelo de IA específico de segurança da Microsoft.
Esse aumento de vendas e a vasta confiança que as organizações depositam no software da Microsoft também não passaram despercebidos pelos legisladores. O governo dos EUA depende fortemente do software da Microsoft, e as violações de e-mail colocaram ainda mais foco nesse relacionamento. “A dependência do governo dos EUA da Microsoft representa uma séria ameaça à segurança nacional dos EUA”, disse o senador Ron Wyden (D-OR), em declaração ao Com fio. Wyden critica os esforços de segurança cibernética da Microsoft há anos, ligando para uma investigação do governo federal após a violação de e-mail do governo dos EUA no ano passado.
A forma como a Microsoft responderá às crescentes críticas sobre suas práticas de segurança nos próximos meses será reveladora. Embora o Conselho de Revisão de Segurança Cibernética considere que a cultura de segurança da Microsoft está quebrada, a Microsoft discorda. “Discordamos veementemente dessa caracterização”, disse Steve Faehl, diretor de tecnologia do negócio de segurança federal da Microsoft, em comunicado ao Com fio. “Embora concordemos que não temos sido perfeitos e temos trabalho a fazer.”
O comportamento da Microsoft só mudará se for forçada, argumenta Grotto em O registro entrevista. “A menos que esse escrutínio gere uma mudança de comportamento entre seus clientes que possam querer procurar outro lugar, os incentivos para a mudança da Microsoft não serão tão fortes quanto deveriam ser.”
theverge