Microsoft start Secure Future Initiative

Smith: 'Het afgelopen jaar heeft de wereld een vrijwel ongeëvenaard en divers scala aan technologische veranderingen gebracht. Vooruitgang op het gebied van kunstmatige intelligentie versnelt de innovatie en verandert de manier waarop samenlevingen met elkaar omgaan en functioneren. Tegelijkertijd hebben cybercriminelen en aanvallers van natiestaten tegengestelde initiatieven en innovaties ontketend die de veiligheid en stabiliteit in gemeenschappen en landen over de hele wereld bedreigen.

De afgelopen maanden zijn we binnen Microsoft tot de conclusie gekomen dat de toenemende snelheid, schaal en verfijning van cyberaanvallen om een ​​nieuw antwoord vragen. Daarom lanceren we vandaag binnen het hele bedrijf een nieuw initiatief om onze volgende generatie cyberbeveiliging na te streven – wat we ons Secure Future Initiative (SFI) noemen.

Dit nieuwe initiatief zal alle onderdelen van Microsoft samenbrengen om de cyberbeveiliging te bevorderen. Het zal drie pijlers hebben, gericht op op AI gebaseerde cyberverdediging, vooruitgang in fundamentele software-engineering en pleitbezorging voor een sterkere toepassing van internationale normen om burgers te beschermen tegen cyberdreigingen. Charlie Bell, onze Executive Vice President voor Microsoft Security, heeft de details van het Secure Future Initiative al gedeeld met onze technische teams en wat dit actieplan betekent voor onze softwareontwikkelingspraktijken.

Hieronder deel ik ons ​​perspectief op de veranderingen die ons ertoe hebben gebracht deze nieuwe stappen te zetten, evenals meer informatie over elk onderdeel van ons Secure Future Initiative.

Het veranderende dreigingslandschap

Eind mei publiceerden we informatie waaruit bleek dat er nieuwe nationale cyberactiviteiten zijn gericht op kritieke infrastructuurorganisaties in de Verenigde Staten. De activiteit was niet alleen verontrustend vanwege de bedreiging voor burgers in het hele land, maar ook vanwege de verfijning van de betrokken technieken . Zoals we in mei benadrukten, waren bij de aanvallen sprake van geavanceerde, geduldige, heimelijke, goed uitgeruste en door de overheid gesteunde technieken om de integriteit van computernetwerken op lange termijn te infecteren en te ondermijnen. We waren deze zomer getuige van soortgelijke activiteiten gericht op de infrastructuur van clouddiensten, ook bij Microsoft.

Deze aanvallen benadrukken een fundamenteel kenmerk van het huidige dreigingslandschap. Zelfs nu de afgelopen jaren enorme verbeteringen hebben gebracht, zullen we nieuwe en andere stappen nodig hebben om de resterende cyberveiligheidskloof te dichten. Zoals we vorige maand deelden in ons jaarlijkse Microsoft Digital Defense Report , beschermt de implementatie van goed ontwikkelde cyberhygiënepraktijken nu effectief tegen een grote meerderheid van cyberaanvallen. Maar de aanvallers met de beste middelen hebben hierop gereageerd door hun eigen innovaties na te streven, en zij handelen agressiever en zelfs nog geavanceerder dan in het verleden.

Brutale natiestatelijke actoren zijn productiever geworden in hun cyberoperaties, voeren met meer geduld en volharding spionage, sabotage, destructieve aanvallen uit en beïnvloeden operaties tegen andere landen en entiteiten. Microsoft schat dat 40% van alle aanvallen op natiestaten in de afgelopen twee jaar zich hebben gericht op kritieke infrastructuur, waarbij door de staat gefinancierde en geavanceerde operators vitale systemen zoals elektriciteitsnetwerken, watersystemen en gezondheidszorgfaciliteiten hebben gehackt. In elk van deze sectoren zijn de gevolgen van een mogelijke cyberverstoring uiteraard ernstig.

Tegelijkertijd heeft de verbetering van de bescherming de toetredingsdrempels voor cybercriminelen verhoogd, maar ook enige marktconsolidatie mogelijk gemaakt voor een kleinere maar verderfelijke groep geavanceerde actoren. De Digital Crimes Unit van Microsoft volgt 123 geavanceerde ransomware-as-a-service-filialen , die gegevens vergrendelen of stelen en vervolgens een betaling eisen voor de teruggave ervan. Sinds september 2022 schatten we dat het aantal ransomware-pogingen met meer dan 200% is toegenomen. Hoewel bedrijven met effectieve beveiliging deze bedreigingen kunnen beheersen, worden deze aanvallen steeds frequenter en complexer en richten ze zich op kleinere en kwetsbaardere organisaties, waaronder ziekenhuizen, scholen en lokale overheden. Meer dan 80% van de succesvolle ransomware-aanvallen is afkomstig van onbeheerde apparaten, wat het belang onderstreept van het uitbreiden van beschermende maatregelen naar elk afzonderlijk digitaal apparaat.

De huidige cyberdreigingen komen voort uit goed gefinancierde operaties en bekwame hackers die gebruik maken van de meest geavanceerde tools en technieken. Of ze nu uit geopolitieke of financiële motieven werken, deze natiestaten en criminele groepen ontwikkelen voortdurend hun praktijken en breiden hun doelwitten uit, waarbij ze geen enkel land, organisatie, individu, netwerk of apparaat uit het oog verliezen. Ze brengen niet alleen machines en netwerken in gevaar; ze vormen ernstige risico's voor mensen en samenlevingen. Ze vereisen een nieuw antwoord, gebaseerd op ons vermogen om onze eigen hulpbronnen en onze meest geavanceerde technologieën en praktijken te benutten.

Op AI gebaseerde cyberverdediging

De oorlog in Oekraïne heeft het vermogen van de technologiesector aangetoond om cyberbeveiligingsverdedigingen te ontwikkelen die sterker zijn dan geavanceerde offensieve dreigingen. De succesvolle cyberdefensie van Oekraïne vereiste een gedeelde verantwoordelijkheid tussen de technologiesector en de regering, met steun van de bondgenoten van het land. Het is een bewijs van de koppeling van leiderschap in de publieke sector aan bedrijfsinvesteringen en van het combineren van rekenkracht met menselijk vernuft. Bovenal biedt het inspiratie voor wat we op nog grotere schaal kunnen bereiken door de kracht van AI te benutten om ons beter te kunnen verdedigen tegen nieuwe cyberdreigingen.

Als bedrijf streven we ernaar een op AI gebaseerd cyberschild te bouwen dat klanten en landen over de hele wereld zal beschermen. Ons wereldwijde netwerk van op AI gebaseerde datacentra en het gebruik van geavanceerde AI-basismodellen plaatst ons in een sterke positie om AI aan het werk te zetten om de cyberbeveiliging te bevorderen.

Als onderdeel van ons Secure Future Initiative zullen we dit werk op meerdere fronten blijven versnellen.

Ten eerste nemen we nieuwe stappen om AI te gebruiken om de dreigingsinformatie van Microsoft te verbeteren. en het Microsoft Threat Analysis Center (MTAC) gebruiken geavanceerde AI-tools en -technieken om cyberbedreigingen te detecteren en analyseren. We breiden deze mogelijkheden rechtstreeks uit naar klanten, onder meer via onze Microsoft-beveiligingstechnologieën, die klantgegevens uit meerdere bronnen verzamelen en analyseren.

Eén reden waarom deze vooruitgang op het gebied van AI zo belangrijk is, is vanwege hun vermogen om een ​​van de meest urgente uitdagingen op het gebied van cyberbeveiliging ter wereld aan te pakken. De alomtegenwoordige apparaten en constante internetverbindingen hebben een enorme zee aan digitale gegevens gecreëerd, waardoor het moeilijker wordt om cyberaanvallen te detecteren. Op één dag ontvangt Microsoft meer dan 65 biljoen signalen van apparaten en services over de hele wereld. Zelfs als alle 8 miljard mensen op aarde samen zouden kunnen zoeken naar bewijs van cyberaanvallen, zouden we het nooit bij kunnen houden.

Maar AI is een gamechanger. Terwijl dreigingsactoren hun dreigingen proberen te verbergen als een speld in een enorme hooiberg aan gegevens, maakt AI het steeds beter mogelijk om zelfs in een zee van naalden de juiste naald te vinden. En in combinatie met een wereldwijd netwerk van datacentra zijn we vastbesloten om AI te gebruiken om bedreigingen te detecteren met een snelheid die net zo snel is als het internet zelf.

Ten tweede gebruiken we AI als gamechanger voor alle organisaties om cyberaanvallen met machinesnelheid te helpen verslaan. Een van de grootste uitdagingen op het gebied van cyberbeveiliging ter wereld is het tekort aan goed opgeleide cyberbeveiligingsprofessionals. Met een wereldwijd tekort van meer dan drie miljoen mensen hebben organisaties alle productiviteit nodig die ze kunnen opbrengen uit hun cybersecuritypersoneel. Bovendien zorgen de snelheid, schaal en verfijning van aanvallen voor een asymmetrie waardoor het voor organisaties moeilijk is om aanvallen op grote schaal te voorkomen en te ontwrichten. Microsoft's Security Copilot combineert een groot taalmodel met een beveiligingsspecifiek model dat verschillende vaardigheden en inzichten heeft uit de bedreigingsinformatie van Microsoft. Het genereert inzichten en aanbevelingen in natuurlijke taal op basis van complexe gegevens, waardoor analisten effectiever en responsiever worden, bedreigingen worden opgespoord die mogelijk over het hoofd zijn gezien en organisaties worden geholpen aanvallen met machinesnelheid te voorkomen en te ontwrichten.

Een ander essentieel ingrediënt voor succes is de combinatie van deze AI-gedreven vooruitgang met het gebruik van uitgebreide detectie- en responsmogelijkheden in eindpuntapparaten. Zoals hierboven opgemerkt, is tegenwoordig meer dan 80% van de ransomware-aanvallen afkomstig van onbeheerde of ‘bring-your-own-apparaten’ die werknemers gebruiken om toegang te krijgen tot werkgerelateerde systemen en informatie. Maar eenmaal beheerd met een dienst als Microsoft Defender for Endpoint, bieden AI-detectietechnieken realtime bescherming die cyberaanvallen op computereindpunten zoals laptops, telefoons en servers onderschept en verslaat. De vooruitgang in oorlogstijd in Oekraïne heeft uitgebreide mogelijkheden geboden om deze bescherming te testen en uit te breiden, inclusief het succesvolle gebruik van AI om Russische cyberaanvallen te identificeren en te verslaan, zelfs vóór menselijke detectie.

Ten derde beveiligen we AI in onze diensten op basis van onze Responsible AI-principes . We erkennen dat deze nieuwe AI-technologieën vooruitgang moeten boeken met hun eigen veiligheids- en beveiligingswaarborgen. Daarom ontwikkelen en implementeren we AI in onze diensten op basis van onze Responsible AI-principes en -praktijken. We zijn gefocust op het ontwikkelen van deze praktijken om gelijke tred te houden met de veranderingen in de technologie zelf.

Hoewel de meeste van onze cyberbeveiligingsdiensten consumenten en organisaties beschermen, streven we er ook naar om sterkere, op AI gebaseerde bescherming voor overheden en landen op te bouwen. Vorige week hebben we aangekondigd dat we 3,2 miljard dollar zullen uitgeven om onze hyperscale cloud computing- en AI-infrastructuur in Australië uit te breiden, inclusief de ontwikkeling van het Microsoft-Australian Signals Directorate Cyber ​​Shield (MACS). In samenwerking met deze cruciale instantie binnen de Australische regering zal dit ons gezamenlijke vermogen vergroten om cyberdreigingen te identificeren, te voorkomen en erop te reageren. Het is een goede indicatie van waar we AI in de toekomst naartoe moeten brengen, door een veiligere bescherming te creëren voor landen over de hele wereld.

Nieuwe technische vooruitgang

Naast nieuwe AI-mogelijkheden zal een veiligere toekomst nieuwe ontwikkelingen op het gebied van fundamentele software-engineering vereisen. Daarom stuurt Charlie Bell vanochtend een e-mail naar onze medewerkers, die hij samen met zijn technische collega's Scott Guthrie en Rajesh Jha heeft geschreven. Hiermee wordt, als onderdeel van ons Secure Future Initiative, een nieuwe standaard voor beveiliging gelanceerd door de manier waarop we onze technologie ontwerpen, bouwen, testen en gebruiken te verbeteren.

Je kunt Charlie's hele e-mail hier lezen . Samenvattend bevat het drie belangrijke stappen:

Ten eerste zullen we de manier waarop we software ontwikkelen transformeren met automatisering en AI. De uitdagingen van de huidige cyberveiligheidsbedreigingen en de kansen die door generatieve AI worden gecreëerd, hebben een keerpunt gecreëerd voor veilige software-engineering. De stappen die Charlie vandaag met onze technici deelt, vertegenwoordigen de volgende evolutionaire fase van de Security Development Lifecycle (SDL) , die Microsoft in 2004 heeft uitgevonden. We zullen dit nu evolueren naar wat we 'dynamische SDL' of dSDL noemen. Hierbij worden systematische processen toegepast om de cyberbeveiligingsbescherming tegen opkomende dreigingspatronen voortdurend te integreren terwijl onze technici onze systemen en diensten coderen, testen, implementeren en bedienen. Zoals Charlie uitlegt, zullen we dit koppelen aan andere aanvullende technische maatregelen, waaronder AI-aangedreven analyse van veilige code en het gebruik van GitHub Copilot om de broncode te auditen en te testen tegen geavanceerde dreigingsscenario's.

Als onderdeel van dit proces zullen we klanten het komende jaar out-of-the-box voorzien van veiligere standaardinstellingen voor multifactor-authenticatie (MFA). Dit zal ons huidige standaardbeleid uitbreiden naar een breder scala aan klantenservices, met de nadruk op waar klanten deze bescherming het meest nodig hebben. We zijn zeer gevoelig voor de impact van dergelijke veranderingen op de bestaande computerinfrastructuur, en daarom zullen we ons concentreren op zowel nieuw technisch werk als uitgebreide communicatie om uit te leggen waar we ons op richten op deze standaardinstellingen en welke beveiligingsvoordelen dit zal opleveren.

Ten tweede zullen we de identiteitsbescherming tegen zeer geavanceerde aanvallen versterken. Op identiteit gebaseerde bedreigingen zoals wachtwoordaanvallen zijn het afgelopen jaar vertienvoudigd, waarbij natiestaten en cybercriminelen steeds geavanceerdere technieken hebben ontwikkeld om inloggegevens te stelen en te gebruiken. Zoals Charlie uitlegt, zullen we ons beschermen tegen deze veranderende bedreigingen door onze meest geavanceerde identiteitsbescherming toe te passen via een uniform en consistent proces dat de identiteit en toegangsrechten van onze gebruikers, apparaten en diensten voor al onze producten en platforms zal beheren en verifiëren. We zullen deze geavanceerde mogelijkheden ook gratis beschikbaar stellen aan niet-Microsoft-applicatieontwikkelaars.

Als onderdeel van dit initiatief zullen we ook migreren naar een nieuw en volledig geautomatiseerd sleutelbeheersysteem voor consumenten en ondernemingen met een architectuur die is ontworpen om ervoor te zorgen dat sleutels ontoegankelijk blijven, zelfs als onderliggende processen in gevaar komen. Dit zal voortbouwen op onze vertrouwelijke computerarchitectuur en het gebruik van hardware-beveiligingsmodules (HSM's) die sleutels in hardware opslaan en beschermen en die gegevens in rust, tijdens de overdracht en tijdens de berekening versleutelen.

Ten derde verleggen we de grenzen op het gebied van respons op kwetsbaarheden en beveiligingsupdates voor onze cloudplatforms. We zijn van plan de tijd die nodig is om de kwetsbaarheden in de cloud te verminderen met 50% te verminderen. We zullen ook transparantere rapportage op een meer consistente manier in de hele technologiesector aanmoedigen.

We zullen de komende maanden en jaren ongetwijfeld andere engineering- en softwareontwikkelingspraktijken toevoegen, gebaseerd op de lessen en feedback die we uit deze inspanningen hebben geleerd. Net als Trustworthy Computing meer dan twintig jaar geleden zullen onze SFI-initiatieven mensen en groepen binnen Microsoft samenbrengen om het cyberbeveiligingslandschap te evalueren en te innoveren.

Sterkere toepassing van internationale normen

Ten slotte zijn wij van mening dat sterkere AI-verdedigingen en technologische vooruitgang moeten worden gecombineerd met een derde cruciale component: de sterkere toepassing van internationale normen in cyberspace.

In 2017 riepen we op tot een Digitale Conventie van Genève, een reeks principes en normen die het gedrag van staten en niet-statelijke actoren in cyberspace zouden bepalen. We voerden aan dat we de normen die nodig zijn om burgers in cyberspace te beschermen tegen een steeds groter wordend scala aan cyberdreigingen, moeten afdwingen en uitbreiden. In de zes jaar sinds die oproep hebben de technologiesector en overheden op dit gebied talloze stappen voorwaarts gezet, en is de precieze aard van wat we nodig hebben geëvolueerd. Maar in de geest en in de kern geloof ik dat de argumenten voor een Digitale Conventie van Genève sterker zijn dan ooit.

De essentie van de Conventie van Genève is altijd de bescherming van onschuldige burgers geweest. Wat we vandaag de dag nodig hebben voor cyberspace is niet één enkele conventie of verdrag, maar eerder een sterkere, bredere publieke inzet van de gemeenschap van naties om vastberadener op te treden tegen cyberaanvallen op burgers en de infrastructuur waarvan we allemaal afhankelijk zijn. Fundamenteel hebben we hernieuwde inspanningen nodig die regeringen, de particuliere sector en het maatschappelijk middenveld verenigen om internationale normen op twee fronten te bevorderen. We zullen de teams van Microsoft over de hele wereld inzetten om deze inspanningen te helpen bepleiten en ondersteunen.

Ten eerste moeten we breder en publiekelijk samenwerken om de belangrijkste normen te onderschrijven en te versterken die de rode lijnen vormen die geen enkele regering mag overschrijden.

We moeten allemaal de vastberaden inspanningen van de natiestaten verafschuwen die erop gericht zijn malware te installeren of andere cyberbeveiligingszwakheden in de netwerken van aanbieders van kritieke infrastructuur te creëren of te exploiteren. Deze houden geen verband met de spionage-inspanningen die regeringen al eeuwenlang ondernemen, maar lijken in plaats daarvan bedoeld om de levens van onschuldige burgers te bedreigen in een toekomstige crisis of conflict. ^{Als de beginselen van de Conventie van Genève in de 21e} eeuw hun vitaliteit willen behouden , moet de internationale gemeenschap een duidelijke en heldere rode lijn trekken die dit soort gedrag regelrecht verboden terrein maakt.

Daarom moeten alle staten publiekelijk beloven dat ze geen softwarekwetsbaarheden zullen installeren in de netwerken van aanbieders van kritieke infrastructuur, zoals energie, water, voedsel, medische zorg of andere aanbieders. Zij moeten zich er ook toe verbinden dat zij geen personen binnen hun grondgebied of jurisdictie zullen toestaan ​​deel te nemen aan cybercriminele operaties die zich richten op kritieke infrastructuur.

Op dezelfde manier hebben de natiestaten het afgelopen jaar steeds meer inspanningen geleverd om clouddiensten direct of indirect te targeten, om toegang te krijgen tot gevoelige gegevens, kritieke systemen te ontwrichten of desinformatie en propaganda te verspreiden. Clouddiensten zelf zijn een cruciaal onderdeel van de ondersteuning geworden voor elk aspect van onze samenleving, inclusief betrouwbaar water, voedsel, energie, medische zorg, informatie en andere essentiële zaken.

Om deze redenen moeten staten clouddiensten erkennen als kritieke infrastructuur, met bescherming tegen aanvallen op grond van het internationaal recht.

Dit moet leiden tot drie samenhangende toezeggingen:

• Staten mogen zich niet bezighouden met cyberoperaties die de veiligheid, integriteit of vertrouwelijkheid van clouddiensten in gevaar zouden brengen, of toestaan ​​dat personen binnen hun grondgebied of jurisdictie betrokken raken.
• Staten mogen de veiligheid van clouddiensten niet zonder onderscheid in gevaar brengen met het oog op spionage.
• Staten moeten cyberoperaties opzetten om te voorkomen dat kosten worden opgelegd aan degenen die niet het doelwit van de operaties zijn.

Ten tweede hebben we regeringen nodig die meer samen doen om een ​​grotere verantwoordelijkheid te bevorderen voor de natiestaten die deze rode lijnen overschrijden. Het heeft dit jaar niet ontbroken aan hard bewijs van acties van de natiestaten die deze normen schenden. Wat we nu nodig hebben is het soort krachtige, publieke, multilaterale en uniforme attributies van regeringen die deze staten ter verantwoording zullen roepen en hen zullen ontmoedigen het wangedrag te herhalen.

Technologiebedrijven en de particuliere sector spelen een belangrijke rol bij de bescherming van cyberbeveiliging, en we zijn vastbesloten om nieuwe stappen en krachtigere actie te ondernemen. Maar vooral als het om nationale activiteiten gaat, is cyberveiligheid een gedeelde verantwoordelijkheid. En net zoals technologiebedrijven meer moeten doen, zullen overheden ook meer moeten doen. Als we allemaal samen kunnen komen, kunnen we het soort stappen zetten dat de wereld zal geven wat zij verdient: een veiligere toekomst.'