El gigante del software Microsoft reveló a mediados de enero de 2024 que sus sistemas fueron infiltrados con éxito a finales de 2023 por el grupo de hackers respaldado por Rusia Midnight Blizzard, como parte de un ejercicio coordinado y específico de recopilación de información. Microsoft confirmó los detalles del ataque en un comunicado publicado en línea el viernes 19 de enero de 2024, donde reveló que el ataque se detectó por primera vez el 12 de enero de 2024 y la activación inmediata de sus procesos de respuesta internos significó que pudo eliminar inmediatamente a los piratas informáticos de su sistemas. “Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o la IA. [artificial intelligence] sistemas”, dijo Microsoft en su comunicado. “Notificaremos a los clientes si se requiere alguna acción. Este ataque resalta el riesgo continuo que representan para todas las organizaciones los actores de amenazas de estados-nación con buenos recursos como Midnight Blizzard”. Y aunque Microsoft dejó claro en su declaración que ningún servicio o dato de cliente se puso en riesgo durante el ataque, Microsoft publicó una advertencia más amplia en su Blog de inteligencia sobre amenazas de seguridad el 25 de enero de 2024 que afirmaba que su investigación sobre el ataque aún está en curso. y es posible que aún salgan a la luz más detalles sobre el impacto del ataque. Como resultado, aquí hay cinco preguntas que los usuarios empresariales de los servicios en la nube de Microsoft deberían hacerle a su CIO, CTO y CISO a raíz de este ataque. Microsoft se presenta como una plataforma intrínsecamente segura, ¿sigue siendo así? Esta es una pregunta clave porque el perfil de riesgo de una empresa debería estar bajo reevaluación continua y continua en cualquier caso, y la avalancha de recientes ataques a Microsoft debería estar en su radar de riesgo. No está claro cómo (o incluso si) Microsoft podrá garantizar al 100% que todo su entorno de nube esté ahora limpio y libre de piratas informáticos, y han informado haber sido atacados con éxito varias veces por grupos de piratas informáticos respaldados por China y Rusia. ¿Confiamos en los mismos controles de seguridad que Microsoft? Microsoft reveló que los piratas informáticos de Midnight Blizzard estuvieron dentro de sus sistemas hasta 42 días antes de ser encontrados, y esto a pesar de que tenían recursos de seguridad global incomparables y tecnologías copilotos de seguridad habilitadas por inteligencia artificial para monitorearlos. La publicación detallada de Microsoft sobre la violación sugiere que la compañía solo encontró el ataque mediante el examen de los registros de Exchange, y no a través de estas herramientas de seguridad de próxima generación. Esas herramientas han sido lanzadas agresivamente y adoptadas a buen ritmo por la mayoría de los clientes de Microsoft durante los últimos seis meses, pero en esta prueba del mundo real de la tecnología de seguridad de la compañía, es justo decir que posiblemente hayan fallado. Las empresas necesitan comprender cuán dependientes son de las capacidades de seguridad de Microsoft en caso de que necesiten reforzar sus defensas. ¿Qué confianza puede tener una empresa en que no ha sufrido también este ataque? Microsoft dijo que no hay evidencia de compromiso con ningún cliente, pero cuando un hacker de un estado-nación tiene seis semanas para deambular libremente a través de una infraestructura de TI, es poco probable que se haya limitado. En el blog de inteligencia sobre amenazas a la seguridad de Microsoft, la compañía aconsejó a “gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, principalmente en EE. UU. y Europa” que estén al tanto de los ataques y cómo identificar si habían sido igualmente comprometido. Esto bien puede indicar que Microsoft cree que los ataques se han extendido más allá de su propio entorno corporativo. Si tuviéramos que desconectarnos de Microsoft, ¿qué significaría para nuestras operaciones comerciales? Las plataformas en la nube de Microsoft, Azure y Microsoft 365, son globales y no están segmentadas regionalmente. Como tales, no necesariamente tienen «cortafuegos» o puertas estancas para aislar los efectos de un atacante. Cuando las organizaciones se conectan a la nube de Microsoft, a menudo lo hacen mediante un enfoque de emparejamiento de red, expandiendo sus servicios de directorio y direccionamiento de red a la nube como una extensión de su red corporativa. Esto significa que incluso una suspensión temporal de los servicios en la nube de Microsoft podría tener un efecto grave en las operaciones comerciales. Comprender qué tan comprometida está la empresa con la conectividad continua con Microsoft es una parte importante de la gestión del riesgo y la exposición total de una empresa. Teniendo en cuenta lo anterior, ¿cuál es nuestro nivel real de exposición? Esto depende en gran medida de para qué una empresa utiliza la nube de Microsoft, así como del perfil que pueda tener ese uso y la naturaleza de la organización en cuestión. Muchas empresas luchan por comprender cuán valiosa es la información interna básica, como las identidades de los usuarios, para una empresa, y también es necesario considerar los derechos de propiedad intelectual (DPI) y cualquier dato sobre el cual la organización pueda tener una responsabilidad regulada. Finalmente, tenga en cuenta que cualquier problema de seguridad que involucre a Microsoft es, por defecto, una noticia global, por lo que también debe tenerse en cuenta en las evaluaciones de riesgo de reputación de los usuarios.

Source link