No debería sorprender a nadie que el gobierno de Estados Unidos haya documentado públicamente las malas prácticas de ciberseguridad, la mala cultura corporativa y la deshonestidad en las comunicaciones públicas de Microsoft.
Había patrones oscuros por todas partes.Durante muchos años, colectivamente Gemí y puse los ojos en blanco. Microsoft distribuyó parches defectuosos e incompletos, hizo irrelevantes los boletines mensuales de parches, peleó con los piratas informáticos que informaron problemas de seguridad y realizó concesiones desconcertantes en materia de transparencia de la ciberseguridad.
Incluso la página “/seguridad”, utilizada durante mucho tiempo como un lugar para simplificar la distribución de alertas de seguridad, guías de mitigación y parches de software, se ha transformado en una página de inicio que promociona los nuevos productos de ciberseguridad “impulsados por IA” de Microsoft.
Mientras tanto, todas las comunicaciones de Microsoft tienen como objetivo promover el poder de la ciberseguridad, que es un gran negocio en Redmond, que actualmente genera 20 mil millones de dólares al año y está dedicado a proteger al mundo. Escudo cibernético basado en IA”.
Como lo ha dicho Alex Stamos, esta “peligrosa adición a los ingresos por seguridad” se vuelve aún más fea cuando los propios problemas de seguridad de Microsoft se utilizan para aumentar las ventas de clientes y productos importantes. Hay técnicas de mitigación disponibles Con costosos paquetes de licencias.
En su investigación sobre el hackeo de Microsoft Exchange Online, la Junta de Revisión de Seguridad Cibernética (CSRB) del gobierno dijo: “Fue una serie de errores evitables por parte de Microsoft los que hicieron que esta intrusión fuera exitosa”, y que un segundo equipo de hackers patrocinado por el estado de Rusia También advirtió que había estado rastreando las cuentas de correo electrónico corporativas confidenciales, los repositorios de código fuente y los sistemas internos de Microsoft.
“La Junta determinó que esta intrusión se podía prevenir y nunca debería haber ocurrido”, afirmó sin rodeos la CSRB. “La cultura de seguridad de Microsoft es inadecuada y requiere una revisión, especialmente dado el papel central de la empresa en el ecosistema tecnológico y el nivel de confianza que sus clientes depositan en la empresa para proteger sus datos y operaciones”.
La CSRB, que se describe a sí misma como una organización de investigación independiente similar a la NTSB, citó “una serie de decisiones operativas y estratégicas en Microsoft que colectivamente demuestran una cultura corporativa que ignora tanto las inversiones en seguridad corporativa como la gestión rigurosa de riesgos”, dijo.
anuncio publicitario. Desplázate para seguir leyendo.
También criticó directamente al director ejecutivo Satya Nadella y le dijo al equipo directivo de Redmond que “se centrara directamente” en la cultura de seguridad de la empresa e implementara un enfoque de seguridad fundamental en toda la empresa y en la línea de productos. Pide al gobierno que formule y publique un plan que establezca un plan. un calendario concreto para llevar a cabo reformas importantes.
Microsoft ya se ha adelantado a los hallazgos de la CSRB al anunciar su Iniciativa Futuro Seguro, que promete productos con parches en la nube más rápidos, una mejor gestión de las claves de firma de identidad y estándares de seguridad predeterminados más altos. Sin embargo, la CSRB quiere que Nadella instruya a su Microsoft interno. equipo para despriorizar la infraestructura de la nube y el desarrollo de funciones en su conjunto de productos hasta que los riesgos de seguridad se resuelvan por completo.
Los hallazgos de la CSRB no son sorprendentes, pero deberían asustarnos a todos. Microsoft es demasiado grande para quebrar y su sistema operativo y su tecnología en la nube impulsan algunos de los servicios más importantes y esenciales del planeta. Está muy lejos de la monocultura de la era de Dan Geer, pero es casi imposible evitar interactuar con el ecosistema de Microsoft actual, incluidos Azure, M365, LinkedIn y XBox.
Como señala el informe, Microsoft y los proveedores de servicios en la nube (CSP) tienen acceso a todo, desde la información personal de los consumidores hasta las comunicaciones de diplomáticos estadounidenses y otros funcionarios gubernamentales, pasando por secretos comerciales corporativos y propiedad intelectual. Gestionamos una cantidad de datos casi inimaginable.
Importantes empresas, desde grandes hasta pequeñas, están apostando por convertirse en “Microsoft Shops”, aumentando el riesgo en la cadena de suministro. Mientras tanto, gran parte de la industria antimalware depende de la detección y el descubrimiento de Defender por parte del (¡muy poderoso!) equipo de investigación de inteligencia de amenazas de la compañía.
Para quienes están profundamente involucrados en el mundo de Microsoft, los costos de seguridad pueden aumentar significativamente, especialmente el costo del registro detallado para ayudar a detectar, investigar y responder a incidentes de seguridad. “Estos procesos de negocio deben detenerse”, señala la CSRB, argumentando que el registro relacionado con la seguridad debería ser un elemento central de los servicios en la nube.
El informe CSRB es un documento notable que detalla uno de los ataques APT más audaces de la historia contra una empresa que perdió una década de confianza y perdió por completo su dirección de seguridad.
Pocas personas se sorprenderán.
Relacionado: El gobierno de EE. UU. critica a Microsoft por seguridad descuidada y mala respuesta al pirateo chino
Relacionado: Después de un ataque masivo a la nube, Microsoft anuncia la ‘Iniciativa Futuro Seguro’
Relacionado: El hackeo de la nube de Microsoft filtra más información que solo los correos electrónicos de Exchange y Outlook
Relacionado: Microsoft contrata a un nuevo CISO en una importante revisión de seguridad
Relacionado: El ciberespía chino utiliza una clave de Microsoft robada para piratear el correo electrónico del gobierno
Fuente: https://www.securityweek.com/microsofts-security-chickens-have-come-home-to-roost/amp/