Nuestro mundo digital está cambiando, con cibercriminales más persistentes, sofisticados y decididos. A medida que aumentan los riesgos y las amenazas, la confianza cobra más importancia que nunca. Los clientes deben poder confiar en las plataformas tecnológicas en las que invierten para crear y operar sus organizaciones. En Microsoft, que es uno de los mayores proveedores de servicios en la nube, generamos confianza ayudando a nuestros clientes a estar protegidos desde el principio y a hacer más cosas con la seguridad de nuestras plataformas en la nube, que está integrada, insertada y lista para usar.

En Microsoft Azure, nuestra estrategia de seguridad se centra en la defensa en profundidad, con capas de protección en todas las fases de diseño, desarrollo e implementación de nuestras plataformas y tecnologías. También hacemos hincapié en la transparencia. Nos aseguramos de que los clientes sepan cómo trabajamos constantemente para aprender y mejorar nuestras ofertas, con el fin de mitigar las ciberamenazas actuales y prepararnos para las ciberamenazas futuras.

En esta entrada de blog, ponemos de relieve el pasado, el presente y el futuro de nuestro enorme compromiso con la seguridad, y dónde vemos oportunidades de aprendizaje y crecimiento constante. Esta entrada inicia una serie de cuatro artículos sobre la seguridad integrada de Azure. El objetivo es compartir lo que hemos aprendido de las vulnerabilidades de la nube más recientes y cómo aplicamos ese aprendizaje para garantizar que nuestras tecnologías y nuestros procesos sean seguros para los clientes. Compartir de forma transparente nuestro aprendizaje y los cambios que realizamos forma parte de nuestro compromiso de obtener la confianza de nuestros clientes, y confiamos en que esto anime a otros proveedores de nube a hacer lo mismo.

Pasado, presente y futuro de nuestro compromiso con la seguridad 

Durante décadas, en Microsoft hemos estado y seguimos estando profundamente centrados en la protección de los clientes y en mejorar la seguridad de nuestras plataformas. Este compromiso es evidente en nuestro largo historial de procedimientos recomendados de seguridad excepcionales, desde la época en la que trabajábamos con software en el entorno local hasta los entornos actuales que dan prioridad a la nube. Un buen ejemplo de ello fue cuando en 2004 fuimos los primeros en crear el Ciclo de vida de desarrollo de seguridad (SDL), un marco para integrar la seguridad en las aplicaciones y los servicios desde el principio cuya influencia está teniendo un largo alcance. SDL se usa actualmente como base para integrar la seguridad en iniciativas clave, como las normas internacionales de seguridad de las aplicaciones (ISO/IEC 27034-1) y la Orden Ejecutiva de la Casa Blanca sobre ciberseguridad¹.

Sin embargo, como bien saben los responsables y profesionales de la seguridad, el trabajo en torno a la seguridad no se acaba nunca. La vigilancia constante es vital. Este es el motivo por el que Microsoft invierte mucho en la investigación sobre la seguridad interna, así como en un programa completo de recompensas por la detección de errores. Internamente, Microsoft cuenta con más de 8500 expertos en seguridad dedicados constantemente a detectar vulnerabilidades, comprender las tendencias de ataque y abordar patrones de problemas de seguridad. Nuestra investigación sobre la seguridad y nuestra inteligencia sobre amenazas de talla mundial ayudan a proteger a los clientes, a Microsoft, el software de código abierto y a nuestros asociados del sector.

También invertimos en uno de los programas de recompensas por la detección de errores más proactivos. Solo en 2021, Microsoft entregó 13,7 millones de USD en recompensas por la detección de errores en una amplia gama de tecnologías. En el último año se ha producido un repunte de las vulnerabilidades notificadas externamente que afectan a varios proveedores de nube, incluido Azure. Aunque las vulnerabilidades son frecuentes en todo el sector, al ser uno de los principales proveedores de nube y el número uno como proveedor de seguridad, Microsoft despierta un gran interés entre los investigadores y sus competidores en materia de seguridad. Este es el motivo por el que nuestro programa público de recompensas fue el primero en incluir servicios en la nube (en 2014), y en 2021 ampliamos aún más el programa para incluir recompensas más altas por la detección de errores entre inquilinos. Como se esperaba, esto claramente aumentó aún más el interés de los investigadores de la seguridad externos por Azure, que culminó con la entrega de varias recompensas por la detección de errores entre inquilinos. Al margen de los motivos, estos hallazgos han ayudado a proteger aún más servicios específicos de Azure y a nuestros clientes.

Por último, creemos firmemente que la seguridad es un deporte de equipo, y nuestro enfoque en la colaboración se hace evidente en nuestras contribuciones al ecosistema de seguridad, como nuestra participación en el Marco de desarrollo de software seguro (SSDF) del NIST², y la mejora de la posición de seguridad del software de código abierto (OSS), con nuestra inversión de 5 millones de USD en el proyecto OpenSSF Alpha-Omega³.

Nuestro compromiso con la seguridad es firme, como demuestran nuestro liderazgo de décadas en SDL y nuestra labor actual de detección de vulnerabilidades, los programas de recompensas por la detección de errores y nuestras contribuciones en proyectos de colaboración, y continúa en el futuro con nuestro compromiso de invertir más de 20 000 millones de USD durante más de cinco años⁴ en ciberseguridad. Aunque la integración de la seguridad desde el principio no es algo nuevo en Microsoft, entendemos que el panorama de la seguridad cambia y evoluciona continuamente, y lo mismo debe ocurrir con nuestro aprendizaje.

En Microsoft, una parte fundamental de nuestra cultura es la mentalidad de crecimiento. Los hallazgos de los investigadores de la seguridad internos y externos son fundamentales para nuestra capacidad de proteger aún más todos nuestros productos y plataformas. Por cada informe de una vulnerabilidad en Azure, realizamos análisis detallados de la causa principal y revisiones posteriores a incidentes, tanto si se detectan internamente como externamente. Estas revisiones nos ayudan a reflejar y aplicar las lecciones aprendidas, en todos los niveles de la organización, y son fundamentales para asegurar que evolucionamos e integramos la seguridad constantemente en Microsoft.

De acuerdo con la información que hemos obtenido en los últimos informes de vulnerabilidades de Azure, estamos mejorando en tres dimensiones principales. Estos avances mejoran nuestro proceso de respuesta, amplían nuestra investigación de seguridad interna y mejoran continuamente la forma en la que protegemos los servicios multiinquilino.

1. Respuesta integrada

Varias lecciones aprendidas del año pasado han centrado nuestra atención en áreas que reconocemos que tienen que mejorar, como acelerar los tiempos de respuesta. Estamos solucionando esto con nuestros procesos de respuesta integrada y unificando los mecanismos de respuesta internos y externos. Empezamos aumentando la frecuencia y el ámbito de nuestras revisiones de seguridad SLR (Security LiveSite Review) desde el nivel de la alta dirección hacia abajo. También estamos mejorando la integración de nuestra administración externa de casos de seguridad y nuestros sistemas internos de comunicación y administración de incidentes. Estos cambios reducen el tiempo medio de intervención y corrección de las vulnerabilidades notificadas, lo que favorece aún más una respuesta rápida por nuestra parte. 

2. Búsqueda de variantes en la nube

En respuesta a las tendencias de seguridad en la nube, hemos ampliado nuestro programa de búsqueda de variantes para incluir una función de búsqueda de variantes en la nube global y dedicada. La búsqueda de variantes identifica vulnerabilidades adicionales y similares en el servicio afectado y en otros servicios, con el fin de garantizar que la detección y la corrección sean más exhaustivas. Esto también conduce a una comprensión más profunda de los patrones de vulnerabilidad y, por tanto, impulsa mitigaciones y correcciones integrales. Los siguientes son algunos datos de nuestro trabajo de búsqueda de variantes en la nube:

• En Azure Automation hemos identificado variantes y corregido más de dos docenas de problemas únicos.
• En Azure Data Factory/Synapse hemos identificado importantes mejoras de diseño que protegen aún más el servicio y abordan las variantes. También hemos trabajado con nuestro proveedor y otros proveedores de nube para asegurarnos de que los riesgos se resuelven de una forma más amplia.
• En Azure Open Management Infrastructure identificamos algunas variantes, nuestros investigadores publicaron CVE-2022-29149 e impulsamos la creación de características de actualización automática de las extensiones para reducir el tiempo de corrección para los clientes. Los clientes de Azure Log Analytics, Azure Diagnostics y Azure Desired State Configuration ya se están beneficiando de la característica de actualización automática de las extensiones.

Además, la búsqueda de variantes en la nube identifica y corrige de forma proactiva posibles problemas en todos nuestros servicios. Esto incluye muchas clases de vulnerabilidades conocidas y nuevas, y en los próximos meses publicaremos más detalles de nuestra investigación para beneficiar a nuestros clientes y a la comunidad en general

3. Protección multiinquilino

En función del aprendizaje que adquirimos de todos los orígenes de nuestra inteligencia sobre seguridad, seguimos evolucionando en cuanto a los requisitos de una protección multiinquilino, así como en la automatización que usamos en Microsoft para permitir una detección y corrección temprana de posibles riesgos de seguridad. A medida que hemos analizado Azure y otros casos de seguridad en la nube durante los dos últimos años, nuestros investigadores de seguridad internos y externos han encontrado formas únicas de eliminar algunas barreras que impedían el aislamiento. Microsoft invierte mucho en medidas de seguridad proactivas para evitar esto, por lo que estos nuevos hallazgos nos han ayudado a determinar las causas más comunes y a asegurar nuestro compromiso por abordarlos en Azure con un reducido número de cambios muy bien aprovechados.

También estamos duplicando nuestra estrategia de defensa en profundidad con el requerimiento y la aplicación de estándares aún más estrictos para el aislamiento del proceso, la red y las credenciales en todos los servicios de Azure, especialmente cuando se consumen componentes OSS o de terceros. Seguimos colaborando con la comunidad de OSS, como PostgreSQL, y con otros proveedores de nube en características que son muy recomendables para entornos de nube multiinquilino. 

Este trabajo ya ha dado lugar a decenas de hallazgos y correcciones, de los que la mayoría (86 %) son atribuibles a nuestras mejoras específicas en el aislamiento del proceso, la red o las credenciales. Entre nuestras mejoras de automatización, estamos ampliando las pruebas internas de seguridad de aplicaciones dinámicas (DAST) con el fin de incluir más comprobaciones para validar el aislamiento del proceso y la red, así como agregar nueva funcionalidad de comprobación de aislamiento de credenciales en tiempo de ejecución. Al mismo tiempo, nuestros expertos en seguridad siguen examinando nuestros servicios en la nube, validando que cumplen nuestros estándares e innovando con nuevos controles automatizados que beneficien a nuestros clientes y a Microsoft.

Desde el modelo de responsabilidad compartida de la seguridad en la nube, recomendamos a nuestros clientes usar el punto de referencia de seguridad en la nube de Microsoft para mejorar su posición de seguridad en la nube. Estamos desarrollando un nuevo conjunto de recomendaciones centradas en los procedimientos recomendados para la seguridad multiinquilino y lo publicaremos en nuestro próximo artículo.

En resumen, aunque en Microsoft tenemos un compromiso constante con la seguridad desde hace mucho tiempo, seguimos creciendo y evolucionando en nuestro aprendizaje a medida que el panorama de la seguridad también evoluciona y cambia. Con este espíritu de aprendizaje constante, Microsoft está abordando los recientes problemas de seguridad en la nube de Azure con la mejora de los estándares de protección multiinquilino, la expansión de nuestra capacidad de búsqueda de variantes en la nube y el desarrollo de mecanismos de respuesta integrados. Nuestras mejoras y la envergadura de nuestro trabajo en materia de seguridad confirman nuestro liderazgo y nuestro compromiso de décadas con la mejora continua de nuestros programas de seguridad y la elevación del listón de la seguridad en todo el sector. Seguimos comprometidos a integrar la seguridad en todas las fases de diseño, desarrollo y operaciones para que nuestros clientes y el mundo puedan trabajar en nuestra nube con confianza.

• Siga el blog del Centro de respuestas de seguridad de Microsoft para conocer nuestros últimos hallazgos en la investigación sobre seguridad.
• Consulte más información sobre el modo en el que Microsoft Azure puede ayudarle a reforzar su posición de seguridad.
• Si desea obtener más información sobre nuestra respuesta a las actualizaciones de seguridad en la nube, lea nuestras entradas de blog Anatomía de una actualización de seguridad de un servicio en la nube y Anatomía de una actualización de seguridad.

 

---

Fuentes:

¹WhiteHouse.gov, Executive Order on Improving the Nation's Cybersecurity, 12 de mayo de 2021.

²National Institute of Standards and Technology, Secure Software Development Framework (SSDF) Project Overview, actualizado el 3 de febrero de 2022.

³Open Source Security Foundation, OpenSSF Announces The Alpha-Omega Project to Improve Software Supply Chain Security for 10,000 OSS Projects, OpenSSF.org, 1 de febrero de 2022.

⁴GeekWire.com, Microsoft to quadruple cybersecurity investments, spending $20B over five years, Todd Bishop, 25 de agosto de 2021.