La empresa de tecnología más grande del mundo tiene un problema de seguridad. Una serie de incidentes de seguridad de alto perfil han sacudido a Microsoft en los últimos años, con un reciente informe mordaz de la Junta de Revisión de Seguridad Cibernética que concluye que “la cultura de seguridad de Microsoft es inadecuada y necesita una revisión”. En Microsoft existe la preocupación de que este ataque pueda socavar gravemente la confianza en la empresa.
Los equipos de ingeniería y seguridad de Microsoft están ocupados respondiendo a un nuevo ataque de los mismos piratas informáticos respaldados por el estado ruso que estuvieron detrás del incidente de SolarWinds, dijeron las fuentes. El grupo de hackers, conocido como Nobelium o Midnight Blizzard, espió las cuentas de correo electrónico de miembros del equipo directivo superior de Microsoft el año pasado y recientemente logró exfiltrar el código fuente.
El ataque en curso ha asustado a muchas personas dentro de Microsoft, y mientras los piratas informáticos rastrean la información robada y buscan más debilidades, el equipo está trabajando para mejorar las defensas de Microsoft y evitar nuevas infracciones. La seguridad es siempre un juego del gato y el ratón, pero se vuelve aún más difícil cuando los piratas informáticos espían sus comunicaciones.
Pero estas son sólo las últimas de una larga lista de violaciones de seguridad. A principios de 2021, los piratas informáticos del gobierno chino utilizaron vulnerabilidades de día cero para atacar servidores Microsoft Exchange, acceder a cuentas de correo electrónico e instalar malware en servidores alojados por empresas. El año pasado, piratas informáticos chinos aprovecharon una vulnerabilidad en la nube de Microsoft para acceder al correo electrónico del gobierno de Estados Unidos. El incidente permitió a los piratas informáticos acceder a las bandejas de entrada de correo electrónico en línea de 22 organizaciones, lo que afectó a más de 500 personas, incluidos empleados del gobierno de Estados Unidos involucrados en la seguridad nacional.
El ataque por correo electrónico del gobierno de EE. UU. del año pasado, que la Junta de Revisión de Seguridad Cibernética de EE. UU. describió como una “cascada de fallas de seguridad”, fue “prevenible”, según el panel. También encontró que una serie de decisiones dentro de Microsoft habían llevado a una “cultura corporativa que ignoraba las inversiones en seguridad corporativa y la gestión rigurosa de riesgos”. Microsoft todavía no está 100% seguro de cómo los piratas informáticos chinos robaron las claves, quienes falsificaron los tokens y obtuvieron acceso a bandejas de entrada de correo electrónico confidenciales.
Suscríbase a Notepad de Tom Warren, un boletín que revela cada semana los secretos y estrategias del trabajo que definió una era de Microsoft en inteligencia artificial, juegos e informática. Suscríbase para recibir actualizaciones directamente en su bandeja de entrada.
mensual
$7 por mes
Reciba todos los números de Notepad directamente en su bandeja de entrada. El primer mes es gratis.
Comienza tu prueba
anual
$70 por año
Consigue 1 año de Bloc de notas a un precio con descuento. El primer mes es gratis.
Comienza tu prueba
manojo
$100 por persona por año
Tanto el Bloc de notas como la Línea de comandos están disponibles durante un año. El primer mes es gratis.
suscríbete a ambos
Puede utilizar tarjetas de crédito, Apple Pay y Google Pay.
Como respuesta principal a estos ataques, Microsoft creó la nueva Iniciativa Futuro Seguro (SFI) para revisar la forma en que diseñamos, construimos, probamos y operamos nuestro software y servicios. SFI, anunciado en noviembre antes de que se revelara el escándalo de espionaje de correo electrónico ruso, debería ser el mayor cambio en los esfuerzos de seguridad de la compañía desde que lanzó su Ciclo de Vida de Desarrollo de Seguridad (SDL) en 2004. SDL en sí fue una respuesta al devastador gusano Blaster que bloqueó las máquinas con Windows XP en 2003 y obligó a la empresa a centrarse en la seguridad.
Poco se ha anunciado públicamente sobre esta nueva Iniciativa Futuro Seguro, pero detrás de escena Microsoft está muy preocupado por perder la confianza de los clientes. En una reunión de liderazgo interno a principios de este mes, el director ejecutivo de Microsoft, Satya Nadella, y el presidente Brad Smith hablaron sobre la necesidad de priorizar la seguridad por encima de todo, dijeron las fuentes. A los altos ejecutivos de Microsoft les preocupa que estos problemas de seguridad hayan erosionado la confianza y, como resultado, la empresa debe recuperar la confianza de los clientes.
Los líderes de ingeniería de Microsoft parecen estar priorizando la seguridad sobre las nuevas funciones y lanzando productos rápidamente. Esto se produce apenas unas semanas después de que la Junta de Revisión de Seguridad Cibernética dijera que “Microsoft debe despriorizar el desarrollo de funciones en su infraestructura de nube y su conjunto de productos hasta que la seguridad mejore significativamente”.
Escuché que la inteligencia artificial y la seguridad son un gran foco dentro de Microsoft en este momento. Sobre todo porque el rápido despliegue de la tecnología de inteligencia artificial de la empresa crea aún más problemas de seguridad potenciales. A medida que más clientes migran a la nube y adoptan la IA, aumenta la necesidad de seguridad. Microsoft ha construido un negocio de seguridad de 20 mil millones de dólares como resultado de este paso a la nube, basado en gran medida en la venta adicional de seguridad además de las suscripciones existentes.
A principios de esta semana, la veterana reportera de Microsoft, Mary Jo Foley, pidió a Microsoft que “deje de vender seguridad como un servicio premium”. Foley señaló que ciertas herramientas de seguridad solo están disponibles como complementos para las suscripciones de Microsoft 365 y que algunos clientes anteriormente no podían ver la información del registro de teclas, lo que resultó en incidentes no detectados.
AJ Grotto, ex director senior de política cibernética de la Casa Blanca, está de acuerdo. “Recordando el episodio de SolarWinds de hace unos años… [Microsoft] “Básicamente, estábamos vendiendo capacidades de tala a agencias federales”, dijo Grotto en una entrevista reciente con The Register. “Como resultado, fue muy difícil para las agencias identificar los riesgos planteados por la violación de SolarWinds”.
El año pasado, en respuesta a las quejas sobre la información de registro, Microsoft amplió la disponibilidad de registros de 90 días a 180 días, pero si su organización desea aprovechar la mayoría de las funciones de seguridad y cumplimiento de Microsoft, puede utilizar la suscripción más costosa a Microsoft 365 E5. ser seleccionado.
Apenas unos días después de que Microsoft revelara recientemente que piratas informáticos rusos habían robado su código fuente, la compañía anunció que comenzaría a vender Copilot for Security mediante un sistema de pago por uso. Este chatbot generativo de IA está diseñado para ayudar a los profesionales de la ciberseguridad a protegerse de las amenazas, pero las empresas pueden utilizar el modelo de IA centrado en la seguridad de Microsoft por 4 dólares por hora de uso.
Los legisladores no desconocen este aumento de ventas y la gran dependencia de la organización del software de Microsoft. El gobierno de Estados Unidos depende en gran medida del software de Microsoft y la filtración de correo electrónico ha puesto aún más atención en esa relación. “La dependencia del gobierno estadounidense de Microsoft representa una seria amenaza a nuestra seguridad nacional”, dijo el senador Ron Wyden (demócrata por Oregón) en una declaración a Wired. Wyden ha criticado durante mucho tiempo el enfoque de Microsoft en materia de ciberseguridad. gritar Una investigación federal después de la filtración de correo electrónico del gobierno de Estados Unidos el año pasado.
La forma en que Microsoft responda a las crecientes críticas a sus medidas de seguridad en los próximos meses lo dirá. La Junta de Revisión de Seguridad Cibernética cree que la cultura de seguridad de Microsoft no funciona, pero Microsoft no está de acuerdo. “Estoy totalmente en desacuerdo con esta evaluación”, dijo Steve Fehr, director de tecnología del negocio federal de seguridad de Microsoft, en una declaración a Wired. “Sin embargo, admito que no fue perfecto y que hay trabajo por hacer”.
Pero el comportamiento de Microsoft no cambiará a menos que se le obligue a hacerlo, argumentó Grotto en una entrevista con el Register. “Si este escrutinio no cambia el comportamiento de los clientes que podrían querer buscar en otra parte, el incentivo de Microsoft para cambiar no será tan fuerte como debería ser”.
Fuente: https://www.theverge.com/2024/4/25/24139914/microsoft-cyber-security-incidents-trust-report