Información general sobre la administración de amenazas y vulnerabilidades
¿Cómo llevan a cabo los servicios en línea de Microsoft administración de vulnerabilidades?
Independientemente del grado de diseño de un sistema, su posición de seguridad puede degradarse con el tiempo. Las máquinas pueden quedar sin revisiones, se pueden introducir cambios de configuración involuntarios y se pueden acumular regresiones al código de seguridad. Todos estos problemas pueden hacer que un sistema sea menos seguro que cuando se implementó inicialmente. Microsoft ha implementado un proceso de automatización para evaluar nuestros sistemas de manera continua para identificar este tipo de degradación, lo que nos permite actuar de forma inmediata para corregir problemas en nuestra posición de seguridad.
Los servicios en línea de Microsoft usan el examen del estado de la máquina para asegurarse de que las máquinas que componen nuestra infraestructura estén actualizadas con las revisiones más recientes y que sus configuraciones base se alineen correctamente con marcos relevantes. El examen de estado de la máquina usa revisiones, antimalware, análisis de vulnerabilidades y análisis de configuración (PAVC). Los servicios en línea de Microsoft aplican UN PAVC eficaz mediante la instalación de un agente de seguridad personalizado en cada activo durante la implementación. Este agente de seguridad habilita el examen del estado de la máquina e informa de los resultados a nuestros equipos de servicio.
¿Cómo garantizan los servicios en línea de Microsoft que la infraestructura de servicio esté actualizada con las revisiones de seguridad más recientes?
La administración de revisiones mitiga las vulnerabilidades al garantizar que los sistemas de servicios en línea de Microsoft se actualicen rápidamente cuando se lanzan nuevas revisiones de seguridad. Microsoft prioriza las nuevas revisiones de seguridad y otras actualizaciones de seguridad según el riesgo. Los equipos de seguridad del servicio en línea de Microsoft analizan las revisiones de seguridad disponibles para determinar su nivel de riesgo en el contexto de nuestros entornos de producción. Su análisis incluye puntuaciones de gravedad basadas en el sistema de puntuación de vulnerabilidades común (CVSS) junto con otros factores de riesgo.
Los equipos de servicio de Microsoft revisan el análisis del equipo de seguridad y actualizan sus componentes de servicio e imágenes de línea base con las revisiones aplicables en el período de tiempo de corrección adecuado. Las revisiones de seguridad están sujetas al proceso de administración de cambios para garantizar la aprobación de la administración y pruebas adecuadas antes de la implementación en los entornos de producción. La implementación de revisiones de seguridad se produce en fases para habilitar la reversión si una revisión de seguridad causa problemas inesperados.
Los equipos de servicio usan los resultados del examen de vulnerabilidades para validar la implementación de las revisiones de seguridad en los componentes del sistema aplicables. Las vulnerabilidades vencidas se notifican diariamente y la administración revisa mensualmente para medir la amplitud y profundidad de la cobertura de revisión en todo el entorno y hacernos responsables de la revisión a tiempo.
¿Cómo realiza Microsoft el examen de vulnerabilidad y configuración?
El agente de seguridad de Microsoft se instala durante la implementación de activos y habilita el análisis de la vulnerabilidad y la configuración totalmente automatizados. El agente de seguridad usa herramientas estándar del sector para detectar vulnerabilidades conocidas y errores de configuración de seguridad. Los recursos de producción se programan para realizar exámenes automáticos diarios con las firmas de vulnerabilidad más recientes. Los resultados de estos exámenes se recopilan en un servicio de almacenamiento central seguro y los informes automatizados hacen que los resultados estén disponibles para los equipos de servicio.
Los equipos de servicio revisan los resultados del examen mediante paneles que notifican los resultados agregados del examen para proporcionar informes completos y análisis de tendencias. Las vulnerabilidades detectadas en los exámenes se rastrean en estos informes hasta que se corrigen. Cuando los exámenes de vulnerabilidad indican que hay revisiones que faltan, configuraciones incorrectas de seguridad u otras vulnerabilidades en el entorno, los equipos de servicio usan estos informes para dirigirse a los componentes afectados para su corrección. Las vulnerabilidades detectadas a través del examen se priorizan para su corrección en función de sus puntuaciones del Sistema de puntuación de vulnerabilidades comunes (CVSS) y otros factores de riesgo pertinentes.
¿Cómo se defiende Microsoft contra el malware?
Microsoft usa un software antimalware completo para proteger los servicios en línea de Microsoft contra virus y otros malware. Las imágenes del sistema operativo de línea base usadas por los servicios en línea de Microsoft incluyen este software para maximizar la cobertura en todo el entorno.
Todos los puntos de conexión de los servicios en línea de Microsoft realizan un examen antimalware completo al menos semanalmente. Se realizan exámenes adicionales en tiempo real en todos los archivos a medida que se descargan, se abren o se ejecutan. Estos exámenes usan firmas de malware conocidas para detectar malware y evitar su ejecución. El software antimalware de Microsoft está configurado para descargar diariamente las firmas de malware más recientes para garantizar que los exámenes se realicen con la información más actualizada. Además de los exámenes basados en firmas, el software antimalware de Microsoft usa el reconocimiento basado en patrones para detectar y evitar comportamientos de programa sospechosos o anómalos.
Cuando nuestros productos antimalware detectan virus u otro malware, generan automáticamente una alerta para los equipos de respuesta de seguridad de Microsoft. En muchos casos, nuestro software antimalware puede impedir la ejecución de un virus y otro tipo de malware en tiempo real sin intervención humana. Cuando esta prevención no es posible, los equipos de respuesta de seguridad de Microsoft resuelven incidentes de malware mediante el proceso de respuesta a incidentes de seguridad.
¿Cómo detecta Microsoft vulnerabilidades nuevas o no declaradas?
Microsoft complementa el examen automatizado con aprendizaje automático sofisticado para ayudar a detectar actividad sospechosa que podría indicar la presencia de vulnerabilidades desconocidas. Las pruebas de penetración periódicas de los equipos internos de Microsoft y auditores independientes proporcionan un mecanismo adicional para detectar y corregir vulnerabilidades antes de que puedan ser explotadas por atacantes reales. Microsoft realiza pruebas de penetración interna con "Red Teams" de los hackers éticos de Microsoft. Los sistemas y los datos de los clientes nunca son los objetivos de las pruebas de penetración, pero las lecciones aprendidas de las pruebas de penetración ayudan a Microsoft a validar sus controles de seguridad y a defenderse de nuevos tipos de ataques. Microsoft también usa programas de recompensas de errores para incentivar la divulgación de nuevas vulnerabilidades, lo que les permite mitigarse tan pronto como sea posible.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de los controles relacionados con administración de vulnerabilidades.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.12.6.1: Administración de vulnerabilidades técnicas | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.12.6.1: Administración de vulnerabilidades técnicas | 2 de diciembre de 2020 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.12.6.1: Administración de vulnerabilidades técnicas | 2 de diciembre de 2020 |
| SOC 1 SOC 2 SOC 3 |
VM-3: supervisión antimalware VM-5: revisión VM-6: Análisis de vulnerabilidades |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | CA-7: Supervisión continua CA-8: Pruebas de penetración RA-3: Evaluación de riesgos RA-5: Análisis de vulnerabilidades SI-2: Corrección de defectos SI-5: alertas de seguridad, avisos y directivas |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.12.6.1: Administración de vulnerabilidades técnicas | 20 de abril de 2021 |
| SOC 1 | CA-27: Análisis de vulnerabilidades | 24 de diciembre de 2020 |
| SOC 2 | CA-24: Evaluación interna de riesgos CA-27: Análisis de vulnerabilidades |
24 de diciembre de 2020 |
Recursos
- Informe de prueba de penetración de FedRAMP comercial de Azure: 2020
- Dynamics 365 for Customer Engagement: Pruebas de penetración y evaluación de seguridad 2019
- Microsoft 365 Evaluación & vulnerabilidad de terceros de Mam de Intune: 2021
- Evaluación de vulnerabilidad de terceros de Microsoft 365 - 2021