Han sido un par de años malos para los esfuerzos de seguridad y privacidad de Microsoft. Los puntos finales mal configurados, los certificados de seguridad falsos y las contraseñas débiles han causado o arriesgado la exposición de datos confidenciales, y Microsoft ha sido criticado por investigadores de seguridad, legisladores estadounidenses y agencias reguladoras por cómo ha respondido y revelado estas amenazas.
La más destacada de estas violaciones involucró a un grupo de hackers con sede en China llamado Storm-0558, que violó el servicio Azure de Microsoft y recopiló datos durante más de un mes a mediados de 2023 antes de ser descubierto y expulsado. Después de meses de ambigüedad, Microsoft reveló que una serie de fallas de seguridad le dieron a Storm-0558 acceso a una cuenta de ingeniero, lo que le permitió a Storm-0558 recopilar datos de 25 de los clientes de Azure de Microsoft, incluidas agencias federales de EE. UU.
En enero, Microsoft reveló que había sido violada nuevamente, esta vez por el grupo de piratería patrocinado por el estado ruso Midnight Blizzard. El grupo pudo “comprometer una cuenta de inquilino de prueba heredada que no es de producción” para obtener acceso a los sistemas de Microsoft durante “hasta dos meses”.
Todo esto culminó en un informe (PDF) de la Junta de Revisión de Seguridad Cibernética de EE. UU., que criticó a Microsoft por su cultura de seguridad “inadecuada”, sus “declaraciones públicas inexactas” y su respuesta a violaciones de seguridad “prevenibles”.
Para intentar cambiar las cosas, Microsoft anunció algo que llamó “Iniciativa de futuro seguro” en noviembre de 2023. Como parte de esa iniciativa, Microsoft hoy Anunciado una serie de planes y cambios en sus prácticas de seguridad, incluidos algunos cambios que ya se han realizado.
“Estamos haciendo de la seguridad nuestra principal prioridad en Microsoft, por encima de todo, por encima de todas las demás funciones”, escribió el vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell. “Estamos ampliando el alcance de SFI, integrando las recomendaciones recientes de la CSRB así como nuestros aprendizajes de Midnight Blizzard para garantizar que nuestro enfoque de ciberseguridad siga siendo sólido y adaptable al panorama de amenazas en evolución”.
Como parte de estos cambios, Microsoft también hará que el salario de su equipo de liderazgo senior dependa parcialmente de si la empresa está “cumpliendo con nuestros planes e hitos de seguridad”, aunque Bell no especificó cuánto salario ejecutivo dependería del cumplimiento de esos objetivos de seguridad.
La publicación de Microsoft describe tres principios de seguridad (“seguro por diseño”, “seguro por defecto” y “operaciones seguras”) y seis “pilares de seguridad” destinados a abordar diferentes debilidades en los sistemas y prácticas de desarrollo de Microsoft. La compañía dice que planea proteger el 100 por ciento de todas sus cuentas de usuario con “autenticación multifactor resistente al phishing y administrada de forma segura”, imponer el acceso con privilegios mínimos en todas las aplicaciones y cuentas de usuario, mejorar el monitoreo y el aislamiento de la red y conservar todos los registros de seguridad del sistema. durante al menos dos años, entre otras promesas. Microsoft también planea colocar nuevos subdirectores de seguridad de la información en diferentes equipos de ingeniería para realizar un seguimiento de su progreso e informar al equipo ejecutivo y a la junta directiva.
En cuanto a las correcciones concretas que Microsoft ya ha implementado, Bell escribe que Microsoft ha “implementado la aplicación automática de la autenticación multifactor de forma predeterminada en más de 1 millón de inquilinos de Microsoft Entra ID dentro de Microsoft”, ha eliminado 730.000 aplicaciones antiguas y/o inseguras “hasta la fecha en toda la producción”. e inquilinos corporativos”, amplió su registro de seguridad y adoptó la Estándar de enumeración común de debilidades (CWE) por sus divulgaciones de seguridad.
Además de las promesas de seguridad pública de Bell, The Verge ha obtuvo y publicó una nota interna del CEO de Microsoft, Satya Nadella, que vuelve a enfatizar el compromiso declarado públicamente de la compañía con la seguridad. Nadella también dice que se debe priorizar la mejora de la seguridad sobre la adición de nuevas funciones, algo que puede afectar el flujo constante de ajustes y cambios que Microsoft lanza para Windows 11 y otro software.
“Los recientes hallazgos de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional con respecto al ciberataque Storm-0558, del verano de 2023, subrayan la gravedad de las amenazas que enfrentan nuestra empresa y nuestros clientes, así como nuestra responsabilidad de defendernos contra estas. actores de amenazas cada vez más sofisticados”, escribe Nadella. “Si se enfrenta al equilibrio entre la seguridad y otra prioridad, su respuesta es clara: hacer seguridad. En algunos casos, esto significará priorizar la seguridad por encima de otras cosas que hacemos, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados”.