La Iniciativa Futuro Seguro (SFI) de Microsoft parece gozar de mala salud y está logrando avances constantes para abordar algunos de los problemas centrales que llevaron al gigante del software a ser arrastrado por los políticos estadounidenses, según un informe de progreso.
Microsoft lanzó el SFI en noviembre de 2023, después de verse envuelto en una serie de incidentes de seguridad de alto perfil dirigidos a su tecnología, incluidas las vulnerabilidades de ProxyLogon y ProxyShell Microsoft Exchange Server que fueron aprovechadas por bandas de ransomware y las intrusiones del actor de amenazas chino Storm-0558. que apuntaba a clientes gubernamentales falsificando tokens de acceso.
A raíz de los ataques de Storm-0558, Redmond fue acusada de negligencia absoluta por parte de Washington DC, y después de incidentes adicionales, incluido un ataque de enero de 2024 en el que los atacantes de SolarWinds Sunburst, Cozy Bear, se infiltraron en sus sistemas, un informe condenatorio de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) impulsó nuevas mejoras en el programa.
En el resumen del informe, el vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell, reafirmó el compromiso de Microsoft con la seguridad y dijo que el progreso constante era mucho más importante que la perfección, lo que se reflejaba en la escala de los recursos que Microsoft ha movilizado al servicio de la SFI, que es por cierto, uno de los proyectos cibernéticos más grandes de la historia, con el equivalente a 34.000 ingenieros a tiempo completo trabajando en él.
“El trabajo colectivo que estamos haciendo para aumentar continuamente la protección, eliminar activos heredados o que no cumplen con las normas e identificar los sistemas restantes para monitorear mide de manera concluyente nuestro éxito”, dijo.
“Mirando hacia el futuro, seguimos comprometidos con la mejora continua”, dijo Bell. “SFI seguirá evolucionando, adaptándose a nuevas amenazas y perfeccionando nuestras prácticas de seguridad. Nuestro compromiso con la transparencia y la colaboración de la industria sigue siendo inquebrantable.
“El trabajo que hemos realizado hasta ahora es sólo el comienzo”, afirmó. “Sabemos que las amenazas cibernéticas seguirán evolucionando y debemos evolucionar con ellas. Al fomentar esta cultura de aprendizaje y mejora continua, estamos construyendo un futuro en el que la seguridad no es sólo una característica, sino una base”.
Seis pilares
En el núcleo de Microsoft SFI se encuentran seis pilares clave, establecidos de la siguiente manera:
- La protección de identidades y secretos utilizando los mejores estándares preparados para la tecnología cuántica;
- La protección y el aislamiento de todos los inquilinos y sistemas de producción de Microsoft;
- La protección de las redes de producción de Microsoft y el aislamiento de Microsoft y los recursos de los clientes;
- La protección de los sistemas de ingeniería, que abarca los activos de software, la seguridad del código y la gobernanza de la cadena de suministro de software;
- El monitoreo y detección de amenazas, brindando cobertura integral y detección automática de amenazas a la infraestructura de producción de Microsoft;
- La aceleración de la respuesta y la corrección de vulnerabilidades, lo que reduce el tiempo para mitigar errores de alta gravedad y mejora la mensajería pública y la transparencia.
En el primero de ellos, Bell destacó las actualizaciones de Microsoft Entra ID y Microsoft Account para que las nubes públicas y gubernamentales generen, almacenen y roten claves de firma de tokens de acceso, y la creciente adopción de kits de desarrollo de software de identidad estándar para una validación consistente de tokens, que ahora cubre más de El 73 % de los tokens emitidos por Entra ID en las aplicaciones de Microsoft.
En el segundo, Microsoft ha completado una iteración completa de la gestión del ciclo de vida de las aplicaciones en todo su conjunto de inquilinos de producción y productividad, y hasta la fecha ha eliminado 730.000 piezas de software que ya nadie utilizaba. Casi seis millones de inquilinos inactivos también han sido eliminados silenciosamente, lo que reduce aún más la superficie de ataque. Mientras tanto, se ha implementado un nuevo sistema para agilizar la configuración de inquilinos de prueba y experimentación, con valores predeterminados seguros y estrictos controles de gestión de por vida.
En tercer lugar, más del 99% de los activos físicos en la red de producción de Microsoft ahora están registrados en un inventario central, y las redes virtuales que necesitan conectividad de backend han sido aisladas de la red corporativa de Microsoft y ahora están sujetas a revisiones de seguridad completas para ayudar a eliminar las conexiones laterales. movimiento, si hubiera alguien acechando allí que no debería estarlo. Para los clientes, Microsoft también ha ampliado las capacidades de la plataforma, como las reglas de administración, para facilitar el aislamiento de los recursos de la plataforma como servicio.
Pasando al cuarto pilar, más del 85% de los canales de producción para la nube comercial de Microsoft ahora utilizan plantillas de canalización gobernadas centralmente, lo que debería hacer que la implementación sea más fácil y, fundamentalmente, más confiable.
Mientras tanto, la vida útil de los tokens de acceso personal se redujo a una semana y el acceso SSH para todos los repositorios de ingeniería internos de Microsoft se deshabilitó, mientras que el número necesario para que los roles elevados accedan a los sistemas de ingeniería se redujo considerablemente. Microsoft también implementó la verificación de prueba de presencia en varios puntos importantes de sus flujos de desarrollo.
En el quinto pilar, monitorear y detectar amenazas, Microsoft dijo que había logrado un progreso “significativo” en la aplicación de bibliotecas estándar para registros de auditoría de seguridad en toda su infraestructura de producción y servicios para emitir telemetría relevante, mientras que el período de retención para estos registros ahora es de hasta dos. años como mínimo. Dijo que más del 99% de todos los dispositivos de red ahora estaban habilitados con recopilación y retención de registros centralizados.
Finalmente, en cuanto a respuesta y remediación, Microsoft informó que ahora ha actualizado los procesos para mejorar el tiempo para mitigar las vulnerabilidades críticas en la nube y también ha comenzado a publicar vulnerabilidades críticas en la nube como CVE incluso si los clientes en realidad no necesitan hacer nada. También creó una Oficina de Gestión de Seguridad del Cliente al servicio de la mensajería y la participación pública.
Cultura de seguridad
Pero Microsoft no piensa quedarse ahí, y hoy también hizo públicas una serie de iniciativas diseñadas para mejorar la forma en que su propia gente se comporta de forma segura y reacciona adecuadamente ante los incidentes.
Entre ellos se encuentran el lanzamiento de un Consejo de Gobernanza de Ciberseguridad y el nombramiento de directores adjuntos de seguridad de la información (CISO) para funciones cibernéticas clave y divisiones de ingeniería, liderados por el CISO Igor Tsyganskiy, que asumirán la responsabilidad de la postura general de riesgo, defensa y cumplimiento de Microsoft.
En el futuro, también reveló que todos los empleados de toda la organización ahora se comprometerán y serán responsables de cumplir con los requisitos cibernéticos básicos en sus revisiones de desempeño, y los está ayudando en el camino con la creación de un programa de academia de habilidades de seguridad interna.
Mientras tanto, el equipo de liderazgo senior ahora tiene la tarea de revisar el progreso de SFI semanalmente y proporcionar actualizaciones a la sala de juntas cada tres meses, con su desempeño de seguridad ahora vinculado directamente a sus paquetes de pago.