92% das contas empresariais da Microsoft usam MFA resistente a phishing

Mais de nove em cada dez contas profissionais dos colaboradores da Microsoft estão atualmente protegidas com autenticação multifator (MFA) resistente a phishing, segundo dados divulgados pela própria empresa.

O número surge na segunda atualização oficial da Secure Future Initiative (SFI), apresentada no dia 21 de abril. Esta iniciativa, lançada em novembro de 2023 pelo CEO Satya Nadella, tem como objetivo tornar a cibersegurança uma prioridade transversal em toda a organização. A taxa de adoção de MFA – que chegou aos 92% – foi descrita pela Microsoft como “um marco significativo na proteção contra engenharia social e ataques baseados em credenciais”.

A SFI foi criada na sequência de dois ataques atribuídos a grupos patrocinados por Estados: o Storm-0558, ligado à China, que ocorreu em julho de 2023, e o Midnight Blizzard, associado à Rússia, também conhecido como Cozy Bear e APT29.

Em entrevista à Infosecurity, Vasu Jakkal, Corporate Vice President of Microsoft Security, reconheceu que a empresa precisou de reformular a sua abordagem: “foi uma transformação cultural tanto quanto tecnológica”. O especialista sublinhou ainda que a segurança passou a ser uma responsabilidade partilhada por todos os funcionários.

O progresso registado pela SFI foi estruturado em torno de três missões transversais: promover o desenvolvimento seguro por defeito e na operação; integrar uma mentalidade de segurança em toda a empresa; e reforçar a governação dos riscos.

Entre as ações já implementadas destacam-se novos kits de ferramentas com foco em experiência do utilizador, auditorias de segurança para o desenvolvimento de soluções de inteligência artificial, e formação específica em segurança cibernética para 50 mil funcionários.

De acordo com a Microsoft, 99% dos colaboradores já completaram os cursos de segurança, sendo este um fator que passou a influenciar as avaliações de desempenho individuais. A empresa criou ainda uma estrutura de governação de segurança, nomeou CISO adjuntos e estabeleceu um inventário de riscos para aumentar a visibilidade e a responsabilização interna.

A SFI inclui um total de 28 objetivos mensuráveis, agrupados em seis pilares estratégicos: proteção de identidades e segredos; isolamento de sistemas de produção; defesa das redes; segurança dos sistemas de engenharia; monitorização de ameaças; e resposta e mitigação. Na mais recente atualização, a tecnológica refere que cinco desses objetivos estão prestes a ser concluídos e outros 11 já registaram progressos significativos.

No mesmo dia da publicação do relatório, a Microsoft organizou o seu primeiro evento Zero Day Quest, onde atribuiu mais de 1,6 milhões de dólares a investigadores que submeteram vulnerabilidades.

O relatório foi também divulgado uma semana depois de ter sido detetada a introdução discreta do Recall, uma funcionalidade polémica que captura automaticamente imagens do ambiente de trabalho dos utilizadores no Windows 11, armazenando-as localmente.