La Iniciativa para un Futuro Seguro (SFI, por sus siglas en inglés) de Microsoft parece gozar de buena salud y está haciendo avances constantes para abordar algunos de los problemas fundamentales que llevaron al gigante del software a ser criticado por los políticos estadounidenses, según un informe de progreso. Microsoft lanzó la SFI en noviembre de 2023, después de verse envuelta en una serie de incidentes de seguridad de alto perfil dirigidos a su tecnología, incluidas las vulnerabilidades ProxyLogon y ProxyShell de Microsoft Exchange Server que fueron aprovechadas por bandas de ransomware, y las intrusiones del actor de amenazas chino Storm-0558 que apuntaba a clientes gubernamentales falsificando tokens de acceso. A raíz de los ataques de Storm-0558, Washington DC acusó a Redmond de negligencia absoluta y, después de incidentes adicionales, incluido un ataque de enero de 2024 en el que los atacantes de SolarWinds Sunburst, Cozy Bear, se infiltraron en sus sistemas, un informe condenatorio de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB, por sus siglas en inglés) impulsó más mejoras al programa. En el resumen del informe, el vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell, reafirmó el compromiso de Microsoft con la seguridad, diciendo que el progreso constante era mucho más importante que la perfección, lo que se reflejó en la escala de los recursos que Microsoft ha movilizado al servicio de SFI, que es, por cierto, uno de los proyectos cibernéticos más grandes de la historia, con el equivalente a 34.000 ingenieros a tiempo completo trabajando en él. «El trabajo colectivo que estamos haciendo para aumentar continuamente la protección, eliminar activos heredados o no compatibles e identificar los sistemas restantes para monitorear mide de manera concluyente nuestro éxito», dijo. «De cara al futuro, seguimos comprometidos con la mejora continua», dijo Bell. «SFI seguirá evolucionando, adaptándose a nuevas amenazas y refinando nuestras prácticas de seguridad. Nuestro compromiso con la transparencia y la colaboración de la industria sigue siendo inquebrantable. «El trabajo que hemos hecho hasta ahora es solo el comienzo», dijo. «Sabemos que las amenazas cibernéticas seguirán evolucionando y debemos evolucionar con ellas. Al fomentar esta cultura de aprendizaje y mejora continuos, estamos construyendo un futuro en el que la seguridad no es solo una característica, sino una base». Seis pilares En el núcleo de Microsoft SFI se encuentran seis pilares clave, establecidos de esta manera: La protección de identidades y secretos utilizando los mejores estándares de su clase, preparados para la tecnología cuántica; La protección y el aislamiento de todos los inquilinos y sistemas de producción de Microsoft; La protección de las redes de producción de Microsoft y el aislamiento de los recursos de Microsoft y de los clientes; La protección de los sistemas de ingeniería, que abarca los activos de software, la seguridad del código y la gobernanza de la cadena de suministro de software; El monitoreo y la detección de amenazas, proporcionando una cobertura integral y la detección automática de amenazas a la infraestructura de producción de Microsoft; La aceleración de la respuesta y la remediación de las vulnerabilidades, reduciendo el tiempo para mitigar errores de alta gravedad y mejorando la mensajería pública y la transparencia. En el primero de estos, Bell destacó las actualizaciones de Microsoft Entra ID y Microsoft Account para nubes públicas y gubernamentales para generar, almacenar y rotar claves de firma de tokens de acceso, y la creciente adopción de kits de desarrollo de software de identidad estándar para una validación de tokens consistente, que ahora cubre más del 73% de los tokens emitidos por Entra ID en las aplicaciones de Microsoft. En segundo lugar, Microsoft ha completado una iteración completa de la gestión del ciclo de vida de las aplicaciones en todo su parque de inquilinos de producción y productividad, y ha eliminado 730.000 piezas de software hasta la fecha que nadie usaba más. También se han dado de baja silenciosamente casi seis millones de inquilinos inactivos, lo que reduce aún más la superficie de ataque. Mientras tanto, se ha implementado un nuevo sistema para agilizar la configuración de inquilinos de prueba y experimentación, con valores predeterminados seguros y estrictos controles de gestión de la vida útil. En tercer lugar, más del 99% de los activos físicos de la red de producción de Microsoft ahora se registran en un inventario central, y las redes virtuales que necesitan conectividad de back-end se han aislado de la red corporativa de Microsoft y ahora se están sometiendo a revisiones de seguridad completas para ayudar a eliminar el movimiento lateral, en caso de que haya alguien al acecho que no debería estar allí. Para los clientes, Microsoft también ha ampliado las capacidades de la plataforma, como las reglas de administración, para facilitar el aislamiento de los recursos de la plataforma como servicio. En cuanto al cuarto pilar, más del 85% de los procesos de desarrollo de la nube comercial de Microsoft utilizan ahora plantillas de procesos gestionadas de forma centralizada, lo que debería facilitar la implementación y, sobre todo, hacerla más fiable. Mientras tanto, la duración de los tokens de acceso personal se ha reducido a una semana y se ha desactivado el acceso SSH para todos los repositorios de ingeniería internos de Microsoft, mientras que se ha reducido mucho la cantidad necesaria para que los roles elevados accedan a los sistemas de ingeniería. Microsoft también ha implementado la comprobación de prueba de presencia en varias coyunturas importantes de sus flujos de desarrollo. En cuanto al quinto pilar, la supervisión y detección de amenazas, Microsoft afirmó que había logrado un progreso «significativo» en la aplicación de bibliotecas estándar para los registros de auditoría de seguridad en toda su infraestructura y servicios de producción para emitir telemetría relevante, mientras que el período de retención de estos registros es ahora de hasta dos años como mínimo. Dijo que más del 99% de todos los dispositivos de red estaban ahora habilitados con la recopilación y retención centralizada de registros. Por último, en cuanto a la respuesta y la reparación, Microsoft informó de que ha actualizado los procesos para mejorar el tiempo de mitigación de las vulnerabilidades críticas en la nube, y también ha empezado a publicar las vulnerabilidades críticas en la nube como CVE, incluso si los clientes no tienen que hacer nada. También ha creado una Oficina de Gestión de Seguridad del Cliente al servicio de la comunicación y la interacción públicas. Cultura de seguridad Pero Microsoft no tiene previsto detenerse ahí, y hoy también ha hecho públicas una serie de iniciativas diseñadas para mejorar la forma en que su propia gente se comporta de forma segura y reacciona de forma adecuada ante los incidentes. Entre ellas se encuentran el lanzamiento de un Consejo de Gobernanza de la Ciberseguridad y el nombramiento de subdirectores de seguridad de la información (CISO) para las funciones cibernéticas clave y las divisiones de ingeniería, dirigidos por el CISO Igor Tsyganskiy, que se harán responsables de la postura general de Microsoft en materia de riesgo, defensa y cumplimiento. De cara al futuro, también ha revelado que todos los empleados de toda la organización se comprometerán y serán responsables de cumplir los requisitos cibernéticos básicos en sus evaluaciones de rendimiento, y les está ayudando en el camino con la creación de un programa interno de academia de habilidades de seguridad. Mientras tanto, el equipo de liderazgo superior ahora tiene la tarea de revisar el progreso de SFI semanalmente y proporcionar actualizaciones a la sala de juntas cada tres meses, y su desempeño de seguridad ahora está vinculado directamente a sus paquetes de pago.