Ha sido un año muy malo para los esfuerzos de seguridad y privacidad de Microsoft. Los puntos finales mal configurados, los certificados de seguridad falsos y las contraseñas débiles han causado o puesto en riesgo datos confidenciales, y la forma en que Microsoft respondió y reveló estas amenazas ha sido criticada por investigadores de seguridad, legisladores estadounidenses y agencias reguladoras.
La más destacada de estas infracciones fue Storm-0558, un grupo de piratas informáticos con sede en China que violó el servicio Azure de Microsoft y fue encontrado y expulsado durante más de un mes recopilando datos a mediados de 2023. Después de meses de incertidumbre, Microsoft reveló que una serie de fallas de seguridad le dieron a Storm-0558 acceso a una cuenta de ingeniero, lo que le permitió a Storm-0558 recopilar datos de 25 de los clientes de Azure de Microsoft, incluidas agencias federales de EE. UU.
En enero, Microsoft reveló que había sido violada nuevamente por el grupo de piratería patrocinado por el gobierno ruso Midnight Blizzard. El grupo podría «comprometer una cuenta de inquilino de prueba heredada que no es de producción» para obtener acceso a los sistemas de Microsoft durante «hasta dos meses».
Todo esto culminó en un informe (PDF) de la Junta de Revisión de Seguridad Cibernética de EE. UU., criticó a Microsoft por su cultura de seguridad «inadecuada», sus «declaraciones públicas inexactas» y su respuesta a violaciones de seguridad «prevenibles».
Para intentar cambiar las cosas, Microsoft anunció lo que llamó «».Iniciativa de futuro seguro» en noviembre de 2023. Como parte de esa iniciativa, Microsoft hoy Anunciado Cambios en una variedad de planes y sus prácticas de seguridad, incluidos algunos cambios ya realizados.
«En Microsoft, hacemos de la seguridad nuestra principal prioridad, por encima de todas las demás características», escribió Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft. Nos aseguraremos de adaptarnos al panorama de amenazas en evolución.
Como parte de los cambios, Microsoft basará la remuneración de su equipo de liderazgo senior en parte en si la compañía está «cumpliendo con nuestros planes e hitos de seguridad», aunque Bell no especificó en qué medida la remuneración de los ejecutivos dependería del cumplimiento de esos objetivos de seguridad.
La publicación de Microsoft describe tres principios de seguridad («seguro por diseño», «seguro por defecto» y «operaciones seguras») y seis «pilares de seguridad» destinados a abordar diversas vulnerabilidades en los sistemas y prácticas de desarrollo de Microsoft. La compañía dijo que planea proteger el 100 por ciento de todas las cuentas de usuario con «autenticación multifactor resistente al phishing y administrada de forma segura», implementando acceso con privilegios mínimos en todas las aplicaciones y cuentas de usuario, mejorando el monitoreo y aislamiento de la red y manteniendo todos los registros de seguridad del sistema. Durante al menos dos años, entre otras promesas. Microsoft también planea colocar nuevos subdirectores de seguridad de la información en varios equipos de ingeniería para seguir su progreso e informar al equipo ejecutivo y a la junta directiva.
En cuanto a las soluciones concretas que Microsoft ya ha implementado, Bell escribe que Microsoft «implementó la aplicación automática de la autenticación multifactor de forma predeterminada en más de 1 millón de inquilinos de Microsoft Entra ID», eliminando 730.000 aplicaciones obsoletas y/o inseguras en todo el producto. e inquilinos corporativos”, amplió y adoptó su registro de seguridad Estándar de cálculo de debilidad común (CWE) por sus divulgaciones de seguridad.
Además de las promesas de seguridad pública de Bell, está The Verge Obtuvo y publicó una nota interna. El director ejecutivo de Microsoft, Satya Nadella, reiteró el compromiso declarado públicamente por la empresa con la seguridad. Nadella también dijo que mejorar la seguridad debería ser una prioridad sobre agregar nuevas funciones que afecten el flujo constante de ajustes y cambios que lanza Microsoft para Windows 11 y otro software.
«Los hallazgos recientes de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional con respecto al ciberataque STORM-0558 del verano de 2023 subrayan la gravedad de las amenazas que enfrentan nuestra empresa y nuestros clientes, así como nuestra responsabilidad de defendernos contra ellas. estos actores de amenazas cada vez más sofisticados», escribió Nadella. «Si se enfrenta a un equilibrio entre la seguridad y otra prioridad, su respuesta es clara: hacer seguridad. En algunos casos, esto significa priorizar la seguridad sobre otras cosas que hacemos, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados».
«Lector amigable. Aficionado al tocino. Escritora. Nerd de Twitter galardonado. Introvertido. Gurú de Internet. Aficionado a la cerveza».
