Microsoft adoptó una estrategia &#39agresiva&#39 para …



Rob Lefferts, vicepresidente corporativo de Microsoft 365 Protection in Safety and Compliance, explica el enfoque de la compañía para mantener a sus clientes y a la industria informados y actualizados sobre los hallazgos del ahora infame ataque.

A raíz de un ciberataque generalizado, los proveedores de TI empresariales pueden desempeñar un papel clave en la forma en que las empresas aprenden y mitigan la amenaza a la seguridad. Esa función ha evolucionado a medida que los ataques se vuelven más complejos, y presenta un desafío complicado cuando un proveedor debe mantener informadas a las empresas de un ataque que se ha infiltrado en sus propios muros y ha afectado a decenas de miles de sus clientes, como lo experimentó Microsoft durante el reciente incidente de SolarWinds.

«Gran parte de la forma en que (el rol) ha cambiado se debe a una complejidad e impacto cada vez mayores», dice Rob Lefferts, vicepresidente corporativo de Microsoft 365 Safety in Stability and Compliance.

Microsoft enfrentó este desafío preciso hace unos meses, luego del importante ataque a la cadena de suministro que inicialmente tuvo como objetivo SolarWinds y distribuyó un troyano de puerta trasera a unas 18,000 organizaciones a través de actualizaciones de software infectadas. Microsoft fue uno de los miles afectados por las actualizaciones contaminadas al usar su acceso, los atacantes pudieron ver parte de su código fuente.

La compañía tomó medidas para remediar las cuentas internas que se usaban para ver el código fuente «en varios repositorios de código». Si bien los expertos en seguridad señalaron que este acceso podría facilitar algunos pasos para los atacantes, Microsoft sostuvo que no hubo un aumento en el riesgo. Desde entonces, la compañía ha informado que no hay evidencia de que los atacantes obtuvieran un amplio acceso a los servicios o datos de los usuarios.

Muchos en la industria se refieren a este incidente como «el ataque SolarWinds» sin embargo, vale la pena señalar que muchas víctimas no usaron SolarWinds en absoluto. El mismo estado-nación detrás de las actualizaciones maliciosas de SolarWinds Orion se infiltró en otras organizaciones a través de sus cuentas de Microsoft 365 y Azure. Malwarebytes también fue víctima de este vector de ataque Microsoft había alertado a la empresa de seguridad sobre actividades sospechosas.

«Podemos confirmar la existencia de otro vector de intrusión que funciona abusando de las aplicaciones con acceso privilegiado a los entornos de Microsoft Business 365 y Azure», dijeron los funcionarios en un entrada en el web site en el ataque.

Es uno de los muchos ataques para aprovechar las aplicaciones de Microsoft: los delincuentes han comenzado a apuntar a las cuentas de Microsoft 365 tan rápido como las empresas adoptan la plataforma. Y como señalan los profesionales de la seguridad, muchas de las tácticas podrían evitarse simplemente activando las funciones integradas en los planes de Business 365 Company el problema es que los atacantes parecen conocer la suite mejor que los defensores. Algunos abusan de funciones que los administradores de TI no saben que existen.

Como Microsoft Al investigar el alcance de este ataque en sus propios sistemas internos, los investigadores tenían la responsabilidad adicional de compartir inteligencia que podría ser útil para otras organizaciones que también pueden haber sido infectadas. Esto tomó la forma de más de una docena de publicaciones de weblog en las que los analistas internos de Microsoft publicaron información sobre el ataque SolarWinds a medida que lo conocían.

«Tuvimos un … enfoque bastante agresivo de manos a la obra de &#39Vamos a tomar toda la información que obtengamos y hacerla digerible, publicarla en nuestro blog y compartirla», dice Lefferts.

La semana pasada, la compañía lanzó una herramienta gratuita que las empresas pueden usar para verificar su computer software en busca de signos del ataque SolarWinds: las mismas consultas que Microsoft usó para descubrir el malware en su propio código. Antes de eso, publicó información que descubrió sobre cómo los atacantes activaban una carga útil de segunda etapa. Su última publicación de weblog, publicó esto semana, detalla tres nuevos tipos de malware que se utilizan en la última etapa de la actividad por la amenaza a la que ahora se refiere como «Nobelium».

El intercambio de inteligencia sobre amenazas después de un ataque no es nuevo para Microsoft u otros grandes proveedores de TI, pero este ataque marcó «una diferencia de escala» en su respuesta, señala Lefferts. El tamaño y la complejidad del incidente de SolarWinds significaron que los analistas tuvieron que profundizar en los datos de amenazas, aprender lo que estaba sucediendo, hacerlos accesibles y compartirlos con otras organizaciones.

«La razón por la que SolarWinds podría haberse sentido un poco diferente fue por la cantidad de información y la gravedad y la importancia de la misma para la industria», explica, y agrega que «pasamos del material de descripción typical a &#39aquí está la consulta&#39 , busque esto en su entorno &#39, y (las empresas) realmente pudieron aprovechar eso «.

Además de amplificar la cantidad de información que Microsoft compartió, este incidente amplificó las preocupaciones y preguntas de las empresas sobre la postura de seguridad. Lefferts dice que ha tenido más conversaciones sobre identidad y lenguaje de marcado de aserción de seguridad (SAML), en particular, después del ataque. Es comprensible que muchos también estén preocupados por cómo detectar y responder a este tipo de ataque sin embargo, a menudo están más preocupados por uno que por el otro.

«A veces, la forma en que ocurren estos eventos hace que la gente se entusiasme con &#39Solo necesito una mejor detección después del hecho&#39», explica, y no piensan lo suficiente en prevenir ataques exitosos en primer lugar. Algunos están preocupados por la detección, pero no piensan en la respuesta.

En un nivel más amplio, Lefferts dice que un componente de la educación empresarial es crear herramientas que puedan ayudar a los equipos de seguridad de la información a hacer su trabajo a medida que las amenazas de seguridad crecen en tamaño y complejidad.

«Existe este problema de escala que es algo endémico para la tecnología, pero pensando en la seguridad en distinct, existe una necesidad actual de asegurarnos de ayudar directamente a las personas porque es difícil contratar y capacitar la experiencia que necesitan», agrega.

Como ejemplo, Lefferts describe Microsoft 365 Defender Threat Analytics, lanzado esta semana en vista previa pública. La herramienta es un conjunto de informes destinados a brindar a los equipos de seguridad múltiples perspectivas sobre lo que está sucediendo en su entorno, así como los pasos que deben tomar para abordar los incidentes que surjan.

«La seguridad es la principal preocupación que tienen los líderes de TI y los CIO cuando se trasladan a la nube», dice Sid Nag, vicepresidente del Grupo de proveedores de servicios y tecnología de Gartner, en referencia a un estudio de Gartner. Muchas organizaciones tienen «plena fe» en sus proveedores de nube para abordar la seguridad, lo que ejerce presión sobre proveedores como Microsoft para que fortalezcan su enfoque.

La presión aumenta a medida que más organizaciones avanzan hacia entornos de múltiples nubes, continúa. A medida que más empresas utilizan varias nubes al mismo tiempo, se plantea la cuestión de cómo se transpone su modelo de seguridad en los diferentes estados de la nube. Nag dice que la responsabilidad recae en los proveedores de la nube, no en los clientes comerciales, para determinar el enfoque correcto y ofrecer las soluciones que necesitan las empresas.

«La realidad es que la nube es … un viaje para la mayoría de las organizaciones», explica Nag. «Hay muchas cargas de trabajo y aplicaciones que aún se encuentran en las instalaciones y que no se han trasladado a la nube. A medida que estas cargas de trabajo, especialmente las complejas, se trasladan a la nube, surgen los desafíos».

La colaboración entre industrias puede impulsar la educación

Una lección clave aprendida después de SolarWinds fue la importancia de que la industria de la seguridad trabaje en conjunto para compartir información sobre amenazas en un esfuerzo más amplio para educar a las empresas y al público, un punto que el presidente de Microsoft, Brad Smith, enfatizó en su testimonio escrito para la audiencia del Senado de la semana pasada sobre el incidente de SolarWinds.

«Hoy en día, demasiadas víctimas de ataques cibernéticos se guardan información para sí mismas», escribió Smith. «No resolveremos este problema a través del silencio. Es imperativo para la nación que alentemos y, a veces, incluso exijamos un mejor intercambio de información sobre los ataques cibernéticos».

Smith señaló que la razón por la que las organizaciones conocen este ataque es porque FireEye, que detectó por primera vez la actividad, fue abierto sobre lo que encontró en sus sistemas. Sin este nivel de transparencia, dijo, «probablemente todavía no conoceríamos esta campaña». En su testimonio, Smith pidió una estrategia nacional para mejorar la forma en que se comparte la inteligencia sobre amenazas en la comunidad de seguridad, así como la necesidad de requisitos claros de divulgación en el sector privado.

«Hay algunos lugares en los que creo que es importante para la industria de la seguridad dar un paso atrás y pensar en cómo este (ataque) impacta el trabajo que hacemos», dice Lefferts. «La mayoría de las conclusiones que hemos sacado han sido acelerar cosas en las que ya estábamos trabajando»

Uno de estos proyectos fue la implementación de la confianza cero, especialmente en un entorno de trabajo desde el hogar, así como nuevas tecnologías como detección y respuesta extendidas (XDR), que proporciona a las empresas visibilidad en sus terminales, redes y entornos de nube. él añade.

Kelly Sheridan es la editora de personal de Darkish Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial