Microsoft está redoblando su recientemente lanzada Secure Future Initiative (SFI), ampliando el programa, que se propone abordar los problemas de software y vulnerabilidad frecuentemente explotados por los actores de amenazas, a raíz de la decisión de la Junta de Revisión de Seguridad Cibernética (CSRB) del gobierno de los Estados Unidos. ) informe sobre la intrusión Storm-0558 del año pasado y el ataque Midnight Blizzard (Cozy Bear) de enero de 2024.
Redmond dijo que la rápida evolución del panorama de amenazas subrayó la gravedad de las amenazas que enfrentan tanto sus propias operaciones como las de sus clientes, y reconoció que dado su papel central en el ecosistema de TI mundial, tenía una “responsabilidad crítica” de ganar y mantener la confianza.
“Estamos haciendo de la seguridad nuestra principal prioridad en Microsoft, por encima de todo, por encima de todas las demás funciones. Estamos ampliando el alcance de SFI, integrando las recomendaciones recientes de la CSRB, así como nuestros aprendizajes de Midnight Blizzard, para garantizar que nuestro enfoque de seguridad cibernética siga siendo sólido y adaptable al panorama de amenazas en evolución”, dijo Charlie Bell, vicepresidente ejecutivo de Seguridad de Microsoft.
“Movilizaremos los pilares y objetivos ampliados de SFI en todo Microsoft y esto será una dimensión en nuestras decisiones de contratación. Además, inculcaremos responsabilidad basando parte de la compensación del equipo de liderazgo senior de la compañía en nuestro progreso en el cumplimiento de nuestros planes e hitos de seguridad”, dijo.
El SFI, como lo describió inicialmente el vicepresidente y presidente de Microsoft, Brad Smith, en noviembre de 2023, se centra en tres pilares centrales: desarrollar y mejorar las ciberdefensas basadas en inteligencia artificial, mejorar las prácticas de ingeniería de software y abogar por una aplicación más sólida de las normas internacionales en el ciberespacio.
En una publicación de blog que describe la expansión de SFI, Bell explicó que este enfoque ahora evolucionará y el trabajo se guiará por tres nuevos principios:
- Seguridad por diseño, como consideración principal en el diseño y desarrollo de cualquier producto o servicio de Microsoft;
- Seguridad de forma predeterminada, con protecciones habilitadas y aplicadas de forma predeterminada, que no requieren ningún esfuerzo adicional por parte de los usuarios, pero tampoco tienen opciones de exclusión voluntaria para ellos;
- Operaciones seguras, con controles y monitoreo que mejoran continuamente para enfrentar las amenazas cambiantes de frente.
Sumado a esto, Microsoft ahora alineará un conjunto de objetivos y acciones ampliados con seis pilares priorizados, de la siguiente manera:
- La protección de identidades y secretos utilizando los mejores estándares preparados para la tecnología cuántica;
- La protección y el aislamiento de todos los inquilinos y sistemas de producción de Microsoft;
- La protección de las redes de producción de Microsoft y el aislamiento de Microsoft y los recursos de los clientes;
- La protección de los sistemas de ingeniería, que abarca los activos de software, la seguridad del código y la gobernanza de la cadena de suministro de software;
- El monitoreo y detección de amenazas, brindando cobertura integral y detección automática de amenazas a la infraestructura de producción de Microsoft;
- La aceleración de la respuesta y la corrección de vulnerabilidades, lo que reduce el tiempo para mitigar errores de alta gravedad y mejora la mensajería pública y la transparencia.
“Estos objetivos se alinean directamente con nuestros aprendizajes del incidente de Midnight Blizzard, así como con las cuatro recomendaciones de la CSRB a Microsoft y las 12 recomendaciones a los proveedores de servicios en la nube (CSP), en las áreas de cultura de seguridad, mejores prácticas de seguridad cibernética, normas de registro de auditoría, estándares y orientación de identidad digital, y transparencia”, dijo Bell.
“Estamos cumpliendo estos objetivos a través de un nuevo nivel de coordinación con un nuevo modelo operativo que alinea a los líderes y equipos con los seis pilares de SFI, con el fin de impulsar la seguridad de manera integral y romper los silos tradicionales”, agregó.
Internamente, Microsoft también está tomando medidas para mejorar la forma en que su gente responde como colectivo, implementando nuevas iniciativas para ayudar a poner en práctica sus aprendizajes de los incidentes e instituyendo un nuevo marco de gobierno supervisado por su CISO Igor Tsyganskiy, que introduce una asociación entre equipos de ingeniería y un grupo recientemente creado de CISO adjuntos, y estará respaldado por toda la amplitud de las capacidades de detección de amenazas y actores estatales existentes de Microsoft.
También planea hacer más para inculcar una cultura en la que la seguridad es lo primero, y comenzará reuniones operativas semanales y mensuales a gran escala para incluir a todos los niveles de gestión y colaboradores individuales de alto nivel que trabajen en la ejecución detallada y la mejora continua de la seguridad.
“En última instancia, Microsoft se basa en la confianza y esta confianza debe ganarse y mantenerse. Como proveedor global de software, infraestructura y servicios en la nube, sentimos la profunda responsabilidad de hacer nuestra parte para mantener el mundo seguro y protegido. Nuestra promesa es mejorar y adaptarnos continuamente a las necesidades cambiantes de la ciberseguridad. Este es el trabajo número uno para nosotros”, dijo Bell.
“Microsoft tiene algunos objetivos realmente ambiciosos en su Iniciativa Futuro Seguro. La mayoría de las organizaciones no tienen ni la voluntad ni la capacidad técnica para lograr estos objetivos, pero cualquier organización que la tenga estará en una posición privilegiada para repeler la mayoría de las intrusiones”, dijo Jake Williams, miembro de la facultad de la firma de investigación cibernética IANS Research y ex hacker. para la NSA. “Microsoft ciertamente tiene la capacidad técnica para implementarlos, pero siempre ha sido así. Parece que ahora también tienen la voluntad política para hacerlo.
“Hay muchos detalles sobre importantes mejoras técnicas de seguridad que está realizando Microsoft. La parte más difícil de la mayoría de ellos es llegar al 100%. Cualquier valor inferior al 100% deja una superficie de ataque residual que los actores de amenazas explotarán. Estos esfuerzos siguen la antigua regla 80/20, según la cual la mayor parte del esfuerzo se dedica a incorporar a los últimos que se resisten al nuevo régimen de seguridad. Lo que me da la mayor confianza de que Microsoft llegará allí es el énfasis en que los ingenieros vicepresidentes mantengan reuniones operativas periódicas con todos los niveles de gestión y con los CI superiores. Así es como se refuerza el cambio cultural y se garantiza que se mantenga”, afirmó.