Anatomía de una actualización de seguridad: Centro de respuestas de seguridad de Microsoft

Microsoft Security Reaction Middle es parte de la comunidad de defensores y está en la primera línea de respuesta de seguridad para nuestros clientes y la empresa. Nuestra misión es proteger a los clientes ya Microsoft de las amenazas actuales y emergentes relacionadas con la seguridad y la privacidad. Supervisamos las amenazas y proporcionamos herramientas y orientación actualizadas para ayudar a las organizaciones a defenderse, identificar y remediar los ataques.

A menudo se nos pregunta, ¿Por qué Microsoft no puede lanzar actualizaciones de seguridad más rápido? ¿Por qué no puede publicar una actualización de seguridad inmediatamente después de que se haya identificado una vulnerabilidad de día cero? ¿Por qué confía en la divulgación coordinada de vulnerabilidades? Estas son excelentes preguntas.

Ciclo de vida de una actualización de seguridad

“Desarrollar una actualización de seguridad es un delicado equilibrio entre calidad y puntualidad. Debemos considerar minimizar las interrupciones de los clientes y maximizar la protección de los clientes”. ~Aanchal Gupta, Vicepresidente Corporativo, Centro de Respuesta de Seguridad de Microsoft

Cada vulnerabilidad es diferente y cada una presenta su propio conjunto de desafíos únicos que deben resolverse. Hay muchos factores que afectan el tiempo que transcurre entre el descubrimiento de un problema y el lanzamiento de una actualización de seguridad para solucionarlo. Debemos considerar el impacto en el mundo true en los clientes cuando se lanza una actualización. Esto significa tener en cuenta la variedad de entornos de clientes en nuestros productos y servicios y la cantidad de plataformas compatibles en las que puede existir la vulnerabilidad.

Cuando desarrollamos una actualización, seguimos un proceso extenso.

Al descubrir una vulnerabilidad, comenzamos inmediatamente nuestra investigación forense. Aquí es donde observamos lo que un investigador puede haber informado o divulgado y lo comparamos con nuestra comprensión interna de la foundation del código.

Después de hacer esto, nuestro siguiente paso es el análisis de variantes. Esto significa que buscamos e investigamos cualquier variante de la vulnerabilidad. Es común que los investigadores, atacantes y defensores inspeccionen el código y la funcionalidad en torno a la vulnerabilidad. Si bien tiene agendas dispares, un objetivo compartido es comprender si existe una funcionalidad adicional (visto a la inversa como riesgo) que pueda contribuir a la vulnerabilidad. La revisión de variantes brinda una mayor confianza en que la vulnerabilidad y los casos similares se abordan por completo. Nuestras actualizaciones de seguridad a menudo contienen correcciones de variantes.

Al mismo tiempo, Microsoft inspecciona el impacto del servicio en toda nuestra amplia cartera. A medida que se acerca el lanzamiento, Microsoft proporciona a los socios de seguridad de confianza orientación de detección a través de nuestro Programa de protección activa de Microsoft (MAPP). Al mismo tiempo, proporcionamos las actualizaciones a socios externos cercanos a través del programa SUVP para pruebas en el mundo true. Una vez que nuestros equipos de ingeniería desarrollan una actualización, debe pasar por pruebas rigurosas para asegurar mejor que la solución no lead to efectos secundarios no deseados. La corrección debe cumplir con los estándares de calidad necesarios antes de que pueda publicarse. Solo después de que una actualización haya pasado estos controles de calidad, puede publicarse como parte de nuestro proceso de actualización programado del martes o para un lanzamiento fuera de banda (fuera de nuestro proceso usual de lanzamiento de actualizaciones). Mientras tanto, también preparamos la documentación de CVE para brindar orientación al cliente sobre la vulnerabilidad, brindar respuestas a las preguntas frecuentes, las mitigaciones y soluciones alternativas existentes, así como enlaces a la actualización y las notas de la versión colateral. Esta información está publicada en el Guía de actualización de seguridad.

Los pasos anteriores toman tiempo, pero son críticos para una respuesta efectiva.

¿Qué es una vulnerabilidad de “día cero”?

Para empezar, una vulnerabilidad de día cero es una falla en el program para la cual no se ha publicado ningún parche oficial o actualización de seguridad. Un proveedor de computer software puede o no estar al tanto de la vulnerabilidad. Las vulnerabilidades de día cero a menudo tienen niveles de gravedad altos y pueden explotarse activamente.

¿Todas las vulnerabilidades de día cero resultan en ataques?

No. Los ataques de día cero a menudo utilizan vulnerabilidades de día cero de alta gravedad, pero eso no significa que la divulgación de la vulnerabilidad resulte en ataques. La complejidad del exploit, la base de instalación disponible y la confiabilidad del exploit son factores en los que los atacantes pueden utilizar las vulnerabilidades de día cero para lograr sus objetivos.

Divulgación de vulnerabilidad coordinada

En primer lugar, para mitigar el riesgo de vulnerabilidades y ataques de día cero, creemos en la divulgación coordinada de vulnerabilidades (ECV). Esta es una mejor práctica probada de la industria para abordar las vulnerabilidades de seguridad. El objetivo de la Divulgación coordinada de vulnerabilidades es brindar orientación oportuna y coherente a los clientes para ayudarlos a protegerse. El Centro de respuestas de seguridad de Microsoft colabora y se asocia con investigadores y proveedores de seguridad para administrar envíos coordinados de divulgación de vulnerabilidades. La colaboración de vulnerabilidad se trata de limitar el campo de oportunidad del atacante, por lo que los clientes y sus datos están mejor protegidos contra los ataques cibernéticos antes de que un problema se haga público. Cuando las vulnerabilidades, como una vulnerabilidad de día cero, se divulgan de manera irresponsable, los clientes corren el riesgo de verse comprometidos sin la oportunidad de detectar y remediar la vulnerabilidad en sus entornos. Nuestro enfoque para la divulgación coordinada de vulnerabilidades solicita que los investigadores nos divulguen vulnerabilidades recientemente descubiertas en el components, el application y los servicios de Microsoft. El investigador nos brinda la oportunidad de diagnosticar y ofrecer actualizaciones completamente probadas, soluciones alternativas u otras medidas correctivas antes de que cualquier parte divulgue información detallada sobre la vulnerabilidad al público. Tras el lanzamiento de una actualización, Microsoft reconoce al investigador por sus hallazgos y por informar el problema de forma privada. Si la vulnerabilidad está dentro del alcance de uno de nuestros programas de recompensasel investigador puede recibir una recompensa de acuerdo con las descripciones del programa y puede ser reconocido públicamente por sus contribuciones cuando corrijamos la vulnerabilidad.

Si los ataques están en marcha y Microsoft todavía está trabajando en una actualización, tanto el investigador como Microsoft trabajan juntos lo más cerca posible para proporcionar una divulgación pública temprana de vulnerabilidades para proteger a los clientes. El objetivo es brindar orientación oportuna y coherente a los clientes para ayudarlos a protegerse.

Mejores prácticas para los clientes

Recomendamos que los clientes se aseguren de que sus sistemas estén lo más actualizados y actualizados posible.

“Su infraestructura tecnológica y sus sistemas de seguridad son como un ‘sistema inmunológico’. Incluso si no hay una actualización para un día cero divulgado, mantener sus sistemas actualizados ayuda a mantener la solidez de todo el sistema”. ~Aanchal Gupta, Vicepresidente Corporativo, Centro de Respuesta de Seguridad de Microsoft

Los atacantes se aprovechan de cualquier debilidad en el entorno de la víctima prevista. Las vulnerabilidades de día cero constituyen un pequeño porcentaje de esas debilidades explotadas. Las vulnerabilidades abordadas recientemente y, a veces, las vulnerabilidades mucho más antiguas se utilizan de forma rutinaria para atacar a los clientes. A veces, un atacante necesita encadenar vulnerabilidades para lograr un compromiso exitoso. Los ataques encadenados pueden incluir tanto vulnerabilidades de día cero como vulnerabilidades abordadas. Si un actor malicioso ha identificado a una víctima objetivo y esa víctima está atrasada en sus actualizaciones, el actor de amenazas puede explotar la vulnerabilidad. Mientras que una víctima con un sistema actualizado habría mitigado la vulnerabilidad antes de que el atacante pudiera actuar sobre la técnica maliciosa.

Programamos el lanzamiento de actualizaciones de seguridad el «Martes de actualización», el segundo martes de cada mes a las 10:00 a. m. PST (hora estándar del Pacífico). Recomendamos que los profesionales de TI planifiquen sus programas de implementación en consecuencia y que los usuarios instalen las últimas actualizaciones. Esta cadencia planificada ayuda a los administradores de TI a planificar e implementar de manera eficiente las actualizaciones en sus entornos. Como parte del lanzamiento, Microsoft publica documentación de apoyo en el Guía de actualización de seguridad de Microsoft. Esto incluye la gravedad asignada, un puntaje CVSS estándar de la industria y un índice de explotabilidad para ayudar a los clientes a tomar decisiones basadas en el riesgo sobre la implementación oportuna de las actualizaciones de seguridad. Cuando están disponibles, se enumeran los pasos de mitigación o las soluciones alternativas que los clientes pueden utilizar mientras prueban e implementan las actualizaciones.

Para Microsoft 365 Defender, los clientes pueden navegar en el portal de Defender a la función de administración de amenazas y vulnerabilidades que se encuentra en el recomendaciones de seguridad página. Esta función muestra a los clientes los dispositivos vulnerables en sus entornos y muestra el contenido que también se expone en la Guía de actualización de seguridad de Microsoft. A menudo, cuando se producen ataques de día cero, los clientes también pueden revisar los artículos de Menace Analytics para proporcionar contexto adicional sobre los ataques conocidos y el impacto en su entorno.

A veces, un actor de amenazas necesita identificar a una víctima objetivo y convencerla de que abra un archivo malicioso o haga clic en un enlace malicioso para exponer sus credenciales antes de que se pueda explotar la vulnerabilidad. Seguir prácticas seguras mientras está en línea ayudará a limitar las posibilidades de que un día cero lo afecte. Puede ser obvio para algunos, pero recuerde, solo descargue aplicaciones, juegos y software de las principales tiendas y adhiérase a aquellos que están bien revisados ​​para reducir el riesgo de ser engañado para descargar malware. Solo acepta contenido de alguien en quien confíes. Si recibe un archivo adjunto o un enlace que no esperaba o el contenido está fuera de la norma del remitente, no se arriesgue y confirme con el remitente antes de comprometerse con el contenido.



Fuente del articulo