En noviembre pasado, Microsoft lanzó la Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés) para prepararse para la creciente escala y altas apuestas de los ciberataques. La SFI reúne a todas las partes de Microsoft para avanzar en la protección de ciberseguridad en toda la empresa y productos.
Los recientes hallazgos del Consejo de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional (CSRB, por sus siglas en inglés) sobre el ciberataque Storm-0558 del pasado julio, y el ataque Midnight Blizzard que se informó en enero, destacan la gravedad de las amenazas que se enfrentan. Microsoft desempeña un papel central en el ecosistema digital del mundo, y esto conlleva una responsabilidad crítica para ganar y mantener la confianza.
Es por esto que Microsoft expandió el alcance de SFI, a través de la integración de las recomendaciones recientes del CSRB, así como los aprendizajes de Midnight Blizzard para asegurar que su enfoque de ciberseguridad se mantenga robusto y adaptable al panorama de amenazas en evolución.
Expansión del enfoque y alcance de SFI
Microsoft ha evolucionado su enfoque de seguridad, y en adelante su trabajo estará guiado por los siguientes tres principios de seguridad:
- Seguro por diseño: La seguridad es lo primero al diseñar cualquier producto o servicio.
- Seguro por defecto: Las protecciones de seguridad están habilitadas y son obligatorias por defecto, no requieren esfuerzo adicional y no son opcionales.
- Operaciones seguras: Los controles de seguridad y la monitorización se mejorarán de manera continua para hacer frente a las amenazas actuales y futuras.
Además, expandieron sus objetivos y acciones alineados con seis pilares de seguridad prioritarios y proporcionan visibilidad en los detalles de su ejecución:
- Reducir el riesgo de acceso no autorizado al implementar y hacer cumplir los mejores estándares en toda la infraestructura de identidad y secretos, y la autenticación y autorización de usuario y aplicación.
- Proteger todos los inquilinos de Microsoft y los entornos de producción mediante prácticas de seguridad consistentes y de primera clase y un aislamiento estricto para minimizar el alcance del impacto.
- Proteger las redes de producción de Microsoft e implementar el aislamiento de redes de los recursos de Microsoft y del cliente.
- Proteger los activos de software y mejorar de manera continua la seguridad del código a través de la gobernanza de la cadena de suministro de software y la infraestructura de sistemas de ingeniería.
- Cobertura integral y detección automática de amenazas a la infraestructura y servicios de producción de Microsoft.
- Prevenir la explotación de vulnerabilidades descubiertas por entidades externas e internas, a través de una remediación integral y oportuna.
Estos objetivos se alinean de manera directa con sus aprendizajes del incidente de Midnight Blizzard, así como con las cuatro recomendaciones del CSRB a Microsoft y las 12 recomendaciones a los proveedores de servicios en la nube (CSP, por sus siglas en inglés), en las áreas de cultura de seguridad, mejores prácticas de ciberseguridad, normas de registro de auditoría, estándares y orientación de identidad digital, y transparencia.
Microsoft cumple con estos objetivos a través de un nuevo nivel de coordinación con un nuevo modelo operativo que alinea a los líderes y equipos con los seis pilares de SFI, con el fin de impulsar la seguridad de manera holística y romper los silos tradicionales. Los líderes de los pilares trabajan con los vicepresidentes ejecutivos de ingeniería (EVP, por sus siglas en inglés) para impulsar una ejecución de ingeniería integrada y transversal en toda la empresa, y se realiza este trabajo en oleadas. Estas oleadas de ingeniería involucran a equipos de Microsoft Azure, Windows, Microsoft 365 y Seguridad, con equipos adicionales de productos integrándose en el proceso de manera semanal.
Aunque queda mucho por hacer, Micrrosoft ha avanzado en la ejecución de las prioridades de SFI y eliminado o reducido los objetivos de aplicaciones al eliminar 730 mil aplicaciones hasta la fecha en los inquilinos de producción y corporativos que estaban fuera de ciclo de vida o no cumplían con los estándares actuales de SFI. Además, han ampliado el registro para brindar a los clientes una mayor visibilidad. Y de manera reciente anunciaron un cambio significativo en su proceso de respuesta: ahora publican datos de causa raíz para CVE de Microsoft a través del estándar de la industria CWE™.
