Microsoft Secure Future Initiative (SFI) es, en palabras de la compañía, “el mayor proyecto de ingeniería de ciberseguridad de la historia y el mayor esfuerzo de este tipo llevado a cabo en Microsoft”. “Desde su lanzamiento, hemos dedicado el equivalente a 34.000 ingenieros trabajando a tiempo completo durante 11 meses para mitigar los riesgos y abordar las tareas de seguridad más prioritarias”, añade.
El segundo informe sobre el progreso de esta iniciativa destaca los avances logrados para mejorar la estrategia de seguridad de Microsoft: “Hemos progresado en cultura y gobernanza, fomentando en cada empleado la mentalidad de que la seguridad es lo primero e invirtiendo en estructuras de gobernanza holísticas para abordar los riesgos de ciberseguridad en toda nuestra empresa”.
Entre las innovaciones, la empresa señala el nuevo conjunto de herramientas UX Secure by Design, probado con 20 equipos de producto, distribuido a 22.000 empleados y compartido públicamente. Incluye las mejores prácticas, pautas de conversación y herramientas de formación para ayudar a los equipos a crear capacidades de seguridad, detectar vulnerabilidades en los productos y establecer prioridades en las que centrarse.
Nuevas capas de protección
Indica también Microsoft el progreso en los pilares y objetivos de ingeniería, reforzando la seguridad de identidad, reduciendo el riesgo de movimientos laterales a través de redes y tenants, mejorando la capacidad para detectar y responder a las amenazas, y colaborando activamente con el sector para proteger a los clientes de vulnerabilidades Zero Day.
Para proteger mejor las claves de firma, en septiembre de 2024 se anunció el traslado de las claves de firma de Entra ID y los tokens de acceso a Microsoft Account (MSA) a módulos de seguridad basados en hardware (HSM) y seguridad basada en virtualización en Windows, con rotación automática.
Este fue el punto de partida de nuevas capas de protección con un enfoque de defensa en profundidad, con base en los hallazgos de las investigaciones y las evaluaciones realizadas por el equipo Red Team, migrando el servicio de firma de MSA a VM confidenciales de Azure y con la preparación de la migración del servicio de Entra ID. Estas mejoras contribuyen a mitigar los vectores de ataque que posiblemente usó el actor malicioso en el ataque de Storm-0558 contra Microsoft en 2023.
Anuncia la compañía además la mejora de su capacidad para detectar y responder a las amenazas, añadiendo más de 200 detecciones adicionales contra las principales tácticas, técnicas y procedimientos (TTPs), que se integrará en Microsoft Defender. En colaboración con la comunidad de investigación en seguridad, han identificado proactivamente 180 vulnerabilidades en áreas de alto impacto de la cloud y la IA, y ampliado el programa para abordar vulnerabilidades en un tiempo reducido de mitigación.
Puntos clave del informe
- El nuevo Secure by Design UX Toolkit está ayudando a los equipos a construir más seguridad en experiencias centradas en el usuario.
- El lanzamiento de 11 nuevas innovaciones en Microsoft Azure, Microsoft 365, Windows y Microsoft Security que ayudan a mejorar la seguridad por defecto.
- Los procesos de desarrollo de IA que ahora incluyen revisiones dedicadas de seguridad y protección dirigidas por la Organización de Seguridad y Protección de la Inteligencia Artificial Generativa.
- Aplicación de prácticas de operaciones seguras en todos los sistemas de IA.
- Nuevo modelos de detección basados en comportamiento y métodos de investigación que frustraron intentos de fraude.
Nueva estructura de gobernanza
En mayo de 2024, Microsoft introdujo una nueva estructura de gobernanza para mejorar la visibilidad del riesgo y la rendición de cuentas. Estas son las operaciones realizadas:
- Nombramiento de un CISO adjunto para Aplicaciones Empresariales y consolidado la responsabilidad de Microsoft 365 y Experiencias y Dispositivos.
- Los 14 CISOs adjuntos de Microsoft han completado un inventario de riesgos y priorización.
Impulso de avances cuantificables
Microsoft afirma haber mejorado la capacidad para detectar y responder a las amenazas con las siguientes prácticas.
- Proteger identidades e información confidencial.
- Proteger los tenants y aislar los sistemas de producción.
- Proteger las redes.
- Proteger los sistemas de ingeniería.
- Supervisar y detectar amenazas.
- Acelerar la respuesta y la corrección.