Microsoft concluye una investigación interna sobre …



El gigante del software package no encontró evidencia de que los atacantes obtuvieran un amplio acceso a los servicios o datos de los clientes.

Microsoft, que llama al ataque a la cadena de suministro SolarWinds un «momento de ajuste de cuentas», declaró el jueves que había completado una investigación interna de su propia pink comprometida. Aconseja a las empresas que fortalezcan la seguridad adoptando una mentalidad de confianza cero y protegiendo las credenciales privilegiadas.

Si bien la brecha, que Microsoft llama «Solorigate», permitió a atacantes sofisticados ver el código fuente de algunos de sus productos, Microsoft enfatizó que sus investigadores concluyeron que ni los servicios de la compañía ni su software se habían utilizado para atacar a otros.

los cierre de esta investigación se make menos de dos meses después de que Microsoft revelara que los atacantes habían visto parte del código fuente de sus productos y servicios. En una declaración separada el 18 de febrero, el Centro de Respuesta de Seguridad de Microsoft (MSRC) reveló que los atacantes vieron repositorios de código fuente específicos en busca de contraseñas y «secretos» de desarrollo utilizados como claves para proteger las aplicaciones una vez compiladas.

La investigación de Microsoft descubrió que los intrusos solo accedieron a «una pequeña cantidad de repositorios (de código)», incluido un pequeño subconjunto de componentes de Azure, Intune y Trade.

«Los términos de búsqueda utilizados por el actor indican el enfoque esperado en el intento de encontrar secretos», el MSRC afirma en su publicación de blog site, agregando que la política de la empresa prohíbe cualquier contraseña o secreto de firma de código en el código. Microsoft automatiza la verificación de esta política, pero verificó el código dos veces durante la respuesta al incidente. «Hemos confirmado que los repositorios cumplían y no contenían credenciales de producción en vivo», escriben los funcionarios.

Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, señaló que el hecho de que las empresas de seguridad y las grandes firmas de application fueran claramente el blanco de los atacantes debería preocupar a la industria y los clientes.

«Hoy, al cerrar nuestra propia investigación interna del incidente, seguimos viendo una oportunidad urgente para que los defensores de todo el mundo unifiquen y protejan el mundo de una manera más concertada», escribe. «También vemos una oportunidad para que todas las empresas adopten un program de Confianza Cero para ayudar a defenderse de futuros ataques».

La velocidad con la que Microsoft concluyó su investigación hizo que algunos profesionales de la seguridad cuestionaran la minuciosidad de la empresa. Los respondedores de incidentes se encuentran en la difícil posición de tener que declarar una negativa: que los atacantes no obtuvieron un acceso significativo, dice Joe Slowik, investigador senior de amenazas de la firma de infraestructura de purple DomainTools.

«Parece que esto no les llevó mucho tiempo terminar, dado el tiempo en comparación con el nivel potencial de acceso que los atacantes pudieron lograr en las redes de las víctimas», dice. «Microsoft dice que (los atacantes) no obtuvieron acceso – punto – parece muy rápido».

Si bien reconoce que Microsoft está en una mejor posición para hacer tales declaraciones, en comparación con la mayoría de la industria, Slowik cuestionó la sabiduría de declarar el fin de la investigación.

Microsoft centró gran parte de sus conclusiones en advertir a las empresas que dos medidas podrían hacerlas más seguras: adoptar una mentalidad de confianza cero y proteger las cuentas privilegiadas que los atacantes se esfuerzan por comprometer. Si bien estas han sido recomendaciones para los equipos de seguridad de TI durante mucho tiempo, especialmente a medida que las empresas se trasladan a fuerzas de trabajo distribuidas vinculadas con servicios basados ​​en la nube, Microsoft enfatizó que los atacantes sofisticados apuntarán al acceso y las credenciales.

«La industria de la ciberseguridad ha sido consciente durante mucho tiempo de que los actores sofisticados y bien financiados eran teóricamente capaces de aplicar técnicas avanzadas, tener paciencia y operar por debajo del radar, pero este incidente ha demostrado que no es solo teórico», escribe el MSRC en sus conclusiones. . «Para nosotros, los ataques han reforzado dos aprendizajes clave que queremos enfatizar: adoptar una mentalidad de confianza cero y proteger las credenciales privilegiadas».

Los profesionales de la industria criticaron la promoción de los servicios en la nube de Microsoft como autoservicio, pero elogiaron el enfoque de la compañía en adoptar una arquitectura de confianza cero.

«La adopción de una arquitectura de confianza cero period algo que ya se había acelerado a la luz de la pandemia y la nueva normalidad de trabajar desde casa», dijo Oliver Tavakoli, director de tecnología de Vectra. «Microsoft señala que las organizaciones deben dar un paso más al adoptarlo como una &#39mentalidad&#39 (y) aceptar que todas las líneas de defensa iniciales pueden fallar y que los controles de seguridad deben distribuirse en todos los sistemas críticos para una organización».

Slowik de DomainTools argumentó que las empresas deberían centrarse en ganar visibilidad en sus relaciones de confianza. Si bien la «confianza cero» se ha usado en exceso en el promoting de las empresas de ciberseguridad, dice, la esencia de las recomendaciones es válida.

«La confianza cero es un concepto problemático, más una palabra de moda que realmente útil, pero destaca una tendencia en la que los adversarios son cada vez más capaces y están dispuestos a abusar de las relaciones de confianza», dice Slowik. «El resultado para los defensores y los propietarios de redes es que necesitamos mejorar el seguimiento, la defensa y el management de esas relaciones de confianza».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technological innovation Evaluate, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial