Los últimos dos años han sido difíciles para los esfuerzos de seguridad y privacidad de Microsoft. Los puntos finales mal configurados, los certificados de seguridad maliciosos y las contraseñas débiles han causado o arriesgado la exposición de datos confidenciales, y Microsoft ha sido criticado por investigadores de seguridad, legisladores estadounidenses y agencias reguladoras por cómo respondió y reveló estas amenazas.
La más destacada de estas violaciones involucró a un grupo de hackers con sede en China llamado Storm-0558, que violó el servicio Azure de Microsoft y recopiló datos durante más de un mes a mediados de 2023 antes de ser descubierto y expulsado. Después de meses de ambigüedad, Microsoft reveló que una serie de violaciones de seguridad le dieron a Storm-0558 acceso a la cuenta de un ingeniero, lo que le permitió a Storm-0558 recopilar datos de 25 clientes de Microsoft Azure, incluidas agencias federales de EE. UU.
En enero, Microsoft reveló que había sido pirateado nuevamente, esta vez por el grupo de piratería patrocinado por el estado ruso Midnight Blizzard. El grupo pudo «comprometer una cuenta de inquilino de prueba heredada que no es de producción» para acceder a los sistemas de Microsoft durante «hasta dos meses».
Todo esto resultó en un informe (PDF) de la Junta de Revisión de Seguridad Cibernética de EE. UU., que criticó a Microsoft por su cultura de seguridad “inadecuada”, sus “declaraciones públicas inexactas” y su respuesta a violaciones de seguridad “prevenibles”.
Para intentar cambiar la situación, Microsoft anunció algo que llamó «Iniciativa de futuro seguro» en noviembre de 2023. Como parte de esta iniciativa, Microsoft hoy anuncio una serie de planes y cambios en sus prácticas de seguridad, incluidos algunos cambios ya realizados.
«Hacemos de la seguridad nuestra máxima prioridad en Microsoft, por encima de todo, por encima de todas las demás características», escribió Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft. “Estamos ampliando el alcance de SFI, incorporando recomendaciones recientes de la CSRB, así como nuestros aprendizajes de Midnight Blizzard, para garantizar que nuestro enfoque de ciberseguridad siga siendo sólido y adaptable a medida que evoluciona el panorama de amenazas.
Como parte de los cambios, Microsoft también hará que la compensación de su equipo ejecutivo dependa en parte de si la compañía «cumple con sus planes y objetivos de seguridad», aunque Bell no dijo en qué medida la compensación de los líderes dependería del logro de estos objetivos de seguridad. .
El mensaje de Microsoft describe tres principios de seguridad («seguro por diseño», «seguro por defecto» y «operaciones seguras») y seis «pilares de seguridad» destinados a abordar diversas debilidades en los sistemas y prácticas de desarrollo de Microsoft. La compañía dice que planea proteger el 100% de todas sus cuentas de usuario con «autenticación multifactor administrada de forma segura y resistente al phishing», imponer privilegios mínimos en todas las aplicaciones y cuentas de usuario, mejorar el monitoreo y el aislamiento de la red y mantener todo el sistema. registros de seguridad. durante al menos dos años, entre otras promesas. Microsoft también planea nombrar nuevos subdirectores de seguridad de la información para diferentes equipos de ingeniería para monitorear su progreso e informar al equipo ejecutivo y a la junta directiva.
En cuanto a las correcciones concretas que Microsoft ya ha implementado, Bell escribe que Microsoft ha «implementado la aplicación automática de la autenticación multifactor de forma predeterminada en más de un millón de inquilinos de Microsoft Entra ID dentro de Microsoft», eliminado 730.000 aplicaciones antiguas y/o inseguras «hasta la fecha en toda la producción. e inquilinos empresariales”, amplió su registro de seguridad y adoptó la Estándar de enumeración de debilidades comunes (CWE) por su información de seguridad.
Además de las promesas de seguridad pública de Bell, The Verge ha obtuvo y publicó una nota interna del CEO de Microsoft, Satya Nadella, quien nuevamente subraya el compromiso declarado públicamente por la compañía con la seguridad. Nadella también dice que mejorar la seguridad debería tener prioridad sobre agregar nuevas funciones, lo que puede afectar el flujo constante de ajustes y cambios que lanza Microsoft para Windows 11 y otro software.
“Los hallazgos recientes de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional con respecto al ciberataque Storm-0558, que data del verano de 2023, subrayan la gravedad de las amenazas que enfrentan nuestra empresa y nuestros clientes, así como nuestra responsabilidad de defendernos. contra estas amenazas. actores de amenazas cada vez más sofisticados», escribe Nadella. «Si se enfrenta a un equilibrio entre la seguridad y otra prioridad, su respuesta es clara: hacer seguridad. En algunos casos, esto significa priorizar la seguridad antes que otras cosas que hacemos, como lanzar nuevas funciones o brindar soporte continuo para los sistemas existentes. »
