Microsoft vincula el pago de los ejecutivos a la seguridad luego de múltiples fallas e infracciones

Han sido un par de años malos para los esfuerzos de seguridad y privacidad de Microsoft. Los puntos finales mal configurados, los certificados de seguridad falsos y las contraseñas débiles han resultado en datos confidenciales o los han comprometido, y Microsoft ha sido criticado por investigadores de seguridad, legisladores estadounidenses y agencias reguladoras por cómo respondió y reveló estas amenazas.

La más destacada de estas infracciones fue la de un grupo de piratas informáticos con sede en China llamado Storm-0558, que violó el servicio Azure de Microsoft y recopiló datos durante más de un mes a mediados de 2023 antes de ser descubierto y expulsado. Después de meses de incertidumbre, Microsoft reveló que una serie de violaciones de seguridad le dieron a Storm-0558 acceso a una cuenta de ingeniero, lo que le permitió a Storm-0558 recopilar datos de 25 de los clientes de Azure de Microsoft, incluidas agencias federales de EE. UU.

En enero, Microsoft reveló que había sido violada nuevamente, esta vez por el grupo de piratería patrocinado por el estado ruso Midnight Blizzard. El equipo logró «comprometer una cuenta de inquilino de prueba heredada que no es de producción» para obtener acceso a los sistemas de Microsoft durante «hasta dos meses».

Todo esto culminó en un informe (PDF) por la Junta de Revisión de Ciberseguridad de EE. UU. por su cultura de seguridad «inadecuada», sus «declaraciones públicas engañosas» y su respuesta a violaciones de seguridad «prevenibles».

Para intentar cambiar las cosas, Microsoft anunció algo llamado «»Un futuro seguro» en noviembre de 2023. Como parte de ese esfuerzo, Microsoft hoy declarado Una serie de planes y cambios en sus procedimientos de seguridad, incluidos algunos cambios que ya se han realizado.

«En Microsoft priorizamos la seguridad por encima de todo, por encima de todo», escribió Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft. «Estamos ampliando el alcance de SFI, integrando las últimas recomendaciones de la CSRB y nuestros aprendizajes de Midnight Blizzard para garantizar que nuestro enfoque de ciberseguridad siga siendo sólido y receptivo al panorama de amenazas en evolución».

Como parte de los cambios, Microsoft hará que el pago de su equipo de liderazgo senior dependa parcialmente de si la compañía «cumple con nuestros planes e hitos de seguridad», aunque Bell no especificó cuánto pago ejecutivo se requerirá para cumplir esos objetivos de seguridad.

La publicación de Microsoft describe tres principios de seguridad («seguro por diseño», «seguro por defecto» y «operaciones seguras») y seis «pilares de seguridad» para abordar diversas vulnerabilidades en los sistemas y prácticas de desarrollo de Microsoft. La compañía dice que planea proteger el 100 por ciento de todas sus cuentas de usuario con «autenticación multifactor antiphishing administrada de forma segura», imponer el acceso con privilegios mínimos en todas las aplicaciones y cuentas de usuario, mejorar el monitoreo y el aislamiento de la red y conservar todos los registros de seguridad del sistema. . Desde hace al menos dos años con otras promesas. Microsoft planea colocar a los nuevos subdirectores de seguridad de la información en diferentes equipos de ingeniería para seguir su progreso e informar al equipo ejecutivo y a la junta directiva.

En cuanto a las correcciones concretas que Microsoft ya ha implementado, Bell escribe que Microsoft ha «implementado la aplicación automática de autenticación multifactor de forma predeterminada para más de 1 millón de inquilinos de Microsoft Intra ID en Microsoft». e inquilinos corporativos”, amplió y adoptó sus registros de seguridad Estándar de cálculo de debilidad común (CWE) a sus divulgaciones de seguridad.

Además de las promesas de seguridad pública de Bell, The Verge ha Recibí una nota interna y la publiqué. Microsoft reitera el compromiso público de la compañía con la seguridad por parte del CEO Satya Nadella. Nadella también dice que se debe priorizar la mejora de la seguridad sobre la adición de nuevas funciones que afecten el flujo constante de ajustes y cambios que lanza Microsoft para Windows 11 y otro software.

«Los hallazgos recientes de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional con respecto al ciberataque Storm-0558 del verano de 2023 subrayan la gravedad de las amenazas que enfrentan nuestra organización y nuestros clientes por parte de actores de amenazas cada vez más sofisticados», Nadella escribe. «Si se enfrenta a un equilibrio entre la seguridad y otra prioridad, su respuesta es clara: Cuidarse. En algunos casos, esto significa priorizar la seguridad sobre otras cosas que hacemos, como lanzar nuevas funciones o continuar brindando soporte a sistemas heredados».