Ampliar / Una PC con Windows 11.
Los últimos años han sido malos para los esfuerzos de seguridad y privacidad de Microsoft. Los puntos finales mal configurados, los certificados de seguridad fraudulentos, las contraseñas débiles y más pueden hacer que los datos confidenciales corran el riesgo de verse comprometidos, y Microsoft ha sido criticado por investigadores de seguridad, el Congreso de los EE. UU. y los reguladores por su respuesta y divulgación. métodos para estas amenazas.
La más destacada de estas infracciones fue la del grupo de piratas informáticos Storm-0558, con sede en China, que se infiltró en los servicios Azure de Microsoft a mediados de 2023 y permaneció activo hasta que fue descubierto y expulsado. Los datos se recopilaron durante un período de más de un mes. Después de meses de ambigüedad, Microsoft confirmó que una serie de fallas de seguridad permitieron a Storm-0558 acceder a cuentas de ingenieros y recopilar datos de 25 de los clientes de Azure de Microsoft, incluidas agencias del gobierno federal de EE. UU.
En enero, Microsoft anunció que había sufrido una nueva intrusión por parte del grupo de hackers Midnight Blizzard, respaldado por el gobierno ruso. El grupo “comprometió cuentas heredadas de inquilinos de prueba que no eran de producción” y obtuvo acceso a los sistemas de Microsoft durante “hasta dos meses”.
Todo esto se resume en el informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. (PDF), que denuncia la cultura de seguridad “inadecuada” de Microsoft, las “declaraciones públicas inexactas” y la respuesta a violaciones de seguridad “prevenibles” fue severamente criticada.
Para cambiar las cosas, Microsoft anunció algo llamado “Iniciativa Futuro Seguro” en noviembre de 2023. Como parte de ese esfuerzo, Microsoft anunció hoy una serie de planes y cambios en sus esfuerzos de seguridad, incluidos varios cambios que ya están implementados.
“En Microsoft, priorizamos la seguridad por encima de todo, por encima de todas las demás características”, escribió Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft. “Estamos ampliando el alcance de SFI e integrando recomendaciones recientes de la CSRB y los aprendizajes de Midnight Blizzard para garantizar que los enfoques de ciberseguridad sigan siendo sólidos y adaptables al panorama de amenazas en evolución”.
Como parte de estos cambios, Microsoft planea hacer que la compensación de su equipo directivo superior dependa parcialmente de si la compañía está “logrando sus planes e hitos de seguridad”, aunque Bell dijo que la compensación ejecutiva dependerá del logro de los objetivos de seguridad. No dijo cómo. de mucho dependería.
La publicación de Microsoft identifica tres principios de seguridad (“Seguro por diseño”, “Seguridad por defecto” y “Operaciones seguras”) y seis “Principios de seguridad” para abordar diversas debilidades en los sistemas y prácticas de desarrollo de la empresa. La compañía dice que protegerá al 100% todas las cuentas de usuario con “autenticación multifactor administrada de forma segura y a prueba de phishing”, aplicará el acceso con privilegios mínimos en todas las aplicaciones y cuentas de usuario, mejorará el monitoreo y el aislamiento de la red, y la compañía dice que sus compromisos incluyen retener todos los registros de seguridad del sistema durante al menos dos años. Microsoft también planea colocar nuevos subdirectores de seguridad de la información en varios equipos de ingeniería para seguir el progreso e informar a la gerencia y la junta directiva.
En cuanto a las correcciones específicas que Microsoft ya ha implementado, Bell dijo que Microsoft ha “implementado la aplicación automática de la autenticación multifactor de forma predeterminada para más de 1 millón de inquilinos de Microsoft Entra ID dentro de Microsoft” y que “hasta la fecha, en todos los inquilinos de producción y empresariales, el La empresa escribió que eliminó 730.000 aplicaciones obsoletas e inseguras, amplió sus registros de seguridad y adoptó el estándar Common Weakness Enumeration (CWE) para divulgaciones de seguridad.
Además de las promesas de seguridad pública de Bell, The Verge obtuvo y publicó un memorando interno del director ejecutivo de Microsoft, Satya Nadella, que reiteró el compromiso declarado públicamente de la compañía con la seguridad. Nadella también dijo que mejorar la seguridad debería tener prioridad sobre agregar nuevas funciones, lo que podría afectar los constantes ajustes y cambios que Microsoft lanza para Windows 11 y otro software.
“Los hallazgos recientes de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional con respecto al ciberataque Storm-0558 del verano de 2023 demuestran la gravedad de las amenazas que enfrentan nuestra empresa y nuestros clientes y la creciente sofisticación de los actores de amenazas “. enfatizar nuestra responsabilidad de protegernos de estos riesgos”, escribió Nadella. “Cuando nos enfrentamos a un equilibrio entre la seguridad y otras prioridades, la respuesta es clara: priorizar la seguridad priorizará la seguridad sobre otras tareas”.
Fuente: https://arstechnica.com/information-technology/2024/05/microsoft-ties-executive-pay-to-security-following-multiple-failures-and-breaches/
