Centro de operaciones de seguridad cibernética de Microsoft

Centro de operaciones de ciberdefensa de Microsoft

La innovación en el espacio de ataque entre personas, lugares y procesos es una inversión necesaria y continua que todos debemos realizar, ya que los adversarios siguen evolucionando tanto en determinación como en sofisticación. En respuesta al aumento de las inversiones en estrategias de defensa por parte de muchas organizaciones, los atacantes están adaptando y mejorando las tácticas a velocidad de véroe. Afortunadamente, los ciberdefenders, como los equipos globales de seguridad de la información de Microsoft, también están innovando y interrumpiendo métodos de ataque de larga fiabilidad con procesos, herramientas y tecnologías de seguridad modernas y continuas.

El Centro de operaciones de ciberdefensa (CDOC) de Microsoft es un ejemplo de los más de 1.000 millones de dólares que invertimos cada año en seguridad, protección de datos y administración de riesgos. El CDOC reúne a especialistas en ciberseguridad y científicos de datos en una instalación 24x7 para combatir las amenazas en tiempo real. Estamos conectados a más de 3.500 profesionales de seguridad de todo el mundo en nuestros equipos de desarrollo de productos, grupos de seguridad de información y equipos legales para proteger nuestra infraestructura y servicios en la nube, productos y dispositivos y recursos internos.

Microsoft ha invertido más de 15 000 millones de dólares en nuestra infraestructura en la nube, con más del 90 % de las empresas de Fortune 500 que usan la nube de Microsoft. Hoy en día, tenemos y operamos una de las mayores superficies de nube del mundo con más de 100 centros de datos distribuidos geográficamente, 200 servicios en la nube, millones de dispositivos y mil millones de clientes en todo el mundo.

Motivaciones y actores de amenazas de ciberseguridad

• Los ciberdelincuentes abarcan varias subcategorías, aunque a menudo comparten motivaciones comunes: ganancia financiera, inteligencia y/o social o política. Su enfoque suele ser directo: al infiltrarse en un sistema de datos financieros, despedazando micro cantidades demasiado pequeñas para detectar y salir antes de ser descubierto. Mantener una presencia persistente y clandestina es fundamental para cumplir su objetivo.
  
  Su enfoque puede ser una intromisión que desvía un gran pago financiero a través de un laberinto de cuentas para evitar el seguimiento y la intervención. En ocasiones, el objetivo es robar la propiedad intelectual que el objetivo posee para que el cibercriminal actúe como intermediario para ofrecer un diseño de producto, código fuente de software u otra información de propiedad que tenga valor para una entidad específica. Más de la mitad de estas actividades son perpetradas por grupos criminales organizados.
  
  
• Los actores del estado de la nación trabajan para que un gobierno interrumpa o comprometa a los gobiernos, organizaciones o individuos dirigidos a obtener acceso a datos o inteligencia valiosos. Se dedican a asuntos internacionales para influir e impulsar un resultado que puede beneficiar a un país o países. El objetivo de un actor nacional-estatal es interrumpir las operaciones, llevar a cabo el espionaje contra las empresas, robar secretos de otros gobiernos o minar la confianza en las instituciones. Trabajan con grandes recursos a su disposición y sin miedo a la retribución legal, con un kit de herramientas que abarca de simple a alta complejidad.
  
  Los actores del estado de la nación pueden atraer a algunos de los más sofisticados talentos de ciberhacking y pueden avanzar sus herramientas hasta el punto de la uso de armas. Su enfoque de intrusión suele implicar una amenaza persistente avanzada que usa la potencia de supercomputación para forzar el salto de credenciales mediante millones de intentos de llegar a la contraseña correcta. También pueden usar ataques de suplantación de identidad hiperespaciales para atraer a un insider a revelar sus credenciales.
  
  
• Las amenazas de Insider son particularmente difíciles debido a la imprevisibilidad del comportamiento humano. La motivación para un insider quizás oportunista y para obtener ganancias financieras. Sin embargo, hay varias causas para posibles amenazas de insider, que van desde un simple descuimiento hasta esquemas sofisticados. Muchas infracciones de datos resultantes de amenazas de insider son completamente involuntarias debido a una actividad accidental o negligente que pone en riesgo a una organización sin ser consciente de la vulnerabilidad.
  
  
• Los hacktivistas se centran en ataques de motivación política o social. Se esfuerzan por ser visibles y reconocidas en las noticias para llamar la atención sobre sí mismos y su causa. Entre sus tácticas se incluyen ataques distribuidos de denegación de servicio (DDoS), vulnerabilidades explota o desfasar una presencia en línea. Una conexión a un problema social o político puede convertir a cualquier empresa u organización en un destino. Las redes sociales permiten a los hacktivistas evangelizar rápidamente su causa y contratar a otras personas para que participen.

Técnicas de actor de amenazas

Los adversarios son expertos en encontrar formas de penetrar la red de una organización a pesar de las protecciones que se han puesto en marcha con varias técnicas sofisticadas. Varias tácticas han estado presentes desde los primeros días de Internet, aunque otras reflejan la creatividad y la creciente sofisticación de los actuales adversarios.

• La ingeniería social es un término general para un ataque que hace que los usuarios actúen o divulgen información que de lo contrario no harían. La ingeniería social juega en las buenas intenciones de la mayoría de las personas y en su disposición a ser útiles, a evitar problemas, a confiar en fuentes conocidas o a obtener potencialmente un premio. Otros vectores de ataque pueden estar bajo el paraguas de la ingeniería social, pero los siguientes son algunos de los atributos que hacen que las tácticas de ingeniería social sean más fáciles de reconocer y defender:
• Los correos electrónicos de suplantación de identidad (phishing) son una herramienta eficaz porque juegan contra el eslabón más débil de la cadena de seguridad: los usuarios cotidianos que no piensan en la seguridad de red como una prioridad. Una campaña de suplantación de identidad (phishing) puede invitar o asustar a un usuario a compartir sin darse cuenta sus credenciales al engañarlos para que haga clic en un vínculo que creen que es un sitio legítimo o descargue un archivo que contiene código malintencionado. Los correos electrónicos de suplantación de identidad solían estar mal escritos y fáciles de reconocer. Hoy en día, los adversarios se han convertido en hábiles para imitar correos electrónicos legítimos y sitios de aterrizaje que son difíciles de identificar como fraudulentos.
• La suplantación de identidad implica que un adversario se hace pasar por otro usuario legítimo falsificar la información que se presenta a una aplicación o recurso de red. Un ejemplo es un correo electrónico que llega aparentemente con la dirección de un compañero solicitando acción, pero la dirección oculta el origen real del remitente del correo electrónico. De forma similar, una dirección URL puede ser suplantada para que aparezca como un sitio legítimo, pero la dirección IP real apunta realmente al sitio de un ciberdelincuente.
  
  
• El malware ha estado con nosotros desde el principio de la informática. Hoy, estamos viendo una fuerte tic-tic en ransomware y código malintencionado específicamente destinado a cifrar dispositivos y datos. A continuación, los ciberdelincuentes exigen el pago en una criptodivisa para que las llaves se desbloqueen y devuelvan el control a la víctima. Esto puede ocurrir a nivel individual para el equipo y los archivos de datos, o ahora con más frecuencia, para toda una empresa. El uso del ransomware es particularmente pronunciado en el campo de la salud, ya que las consecuencias de vida o muerte a las que se enfrentan estas organizaciones las hacen altamente sensibles al tiempo de inactividad de la red.
  
  
• La inserción en la cadena de suministro es un ejemplo de un enfoque creativo para insertar malware en una red. Por ejemplo, al secuestrar un proceso de actualización de aplicaciones, un adversario elude las herramientas y las protecciones contra malware. Estamos viendo que esta técnica se vuelve más común y esta amenaza seguirá creciendo hasta que los desarrolladores de aplicaciones infundan en software una protección de seguridad más completa.
  
  
• Los ataques man-in-the-middleimplican que un adversario se inserta entre un usuario y un recurso al que está accediendo, lo que intercepta información crítica como las credenciales de inicio de sesión de un usuario. Por ejemplo, un cibercriminal de una cafetería puede usar software de registro de claves para capturar las credenciales de dominio de un usuario al unirse a la red wifi. A continuación, el actor de amenazas puede obtener acceso a la información confidencial del usuario, como la información bancaria y personal que puede usar o vender en la web oscura.
  
  
• Los ataques distribuidos de denegación de servicio (DDoS)han estado alrededor de una década y son ataques masivos cada vez más comunes con el rápido crecimiento de Internet de las cosas (IoT). Al usar esta técnica, un adversario sobrecarga un sitio al abate con tráfico malintencionado que desplaza las consultas legítimas. El malware previamente plantado se suele usar para secuestrar un dispositivo IoT, como una cámara web o un termostato inteligente. En un ataque DDoS, el tráfico entrante de diferentes orígenes inunda una red con numerosas solicitudes. Esto sobrecarga los servidores y deniega el acceso de solicitudes legítimas. Muchos ataques implican también la forja de direcciones de remitente IP (suplantación de identidad de direcciones IP), de modo que la ubicación de los equipos atacantes no se puede identificar y derrotar fácilmente.
  
  A menudo se usa un ataque de denegación de servicio para cubrir o distraer de un esfuerzo más engañoso para penetrar una organización. En la mayoría de los casos, el objetivo del adversario es obtener acceso a una red con credenciales comprometidas y, después, desplazarse lateralmente por la red para obtener acceso a credenciales más "eficaces" que son las claves de la información más confidencial y valiosa de la organización.
  
  

Militarización del ciberespacio

La creciente posibilidad de ciberguerra es una de las principales preocupaciones entre los gobiernos y los ciudadanos en la actualidad. Implica el uso y el destino de equipos y redes en la guerra.

Tanto las operaciones ofensivas como las defensiva se usan para llevar a cabo ciberataques, espionaje y sabotaje. Los estados nación han desarrollado sus capacidades y han participado en ciberguerra, ya sea como agresores, procesados o ambos durante muchos años.

Las nuevas herramientas y tácticas de amenazas desarrolladas a través de inversiones militares avanzadas también pueden ser violadas y los ciberdelincuentes pueden compartirlas en línea y ser utilizadas por ciberdelincuentes para su uso posterior.

La posición de ciberseguridad de Microsoft

Aunque la seguridad siempre ha sido una prioridad para Microsoft, reconocemos que el mundo digital requiere continuos avances en nuestro compromiso en la forma en que protegemos, detectamos y respondemos a las amenazas de ciberseguridad. Estos tres compromisos definen nuestro enfoque de la ciberdefensa y sirven como un marco útil para nuestra discusión sobre las estrategias y capacidades de defensa cibernética de Microsoft.

PROTEGER

Proteger

El primer compromiso de Microsoft es proteger el entorno informático usado por nuestros clientes y empleados para garantizar la resistencia de nuestra infraestructura y servicios en la nube, productos, dispositivos y recursos corporativos internos de la compañía frente a determinados adversarios.

Las medidas de protección de los equipos CDOC abarcan todos los puntos de conexión, desde sensores y centros de datos hasta identidades y aplicaciones de software como servicio (SaaS). La indepth de defensa(aplicar controles en varias capas con medidas de seguridad superpuestas y estrategias de mitigación de riesgos) es una práctica recomendada en todo el sector y es el enfoque que tomamos para proteger nuestros valiosos activos corporativos y clientes.

Las tácticas de protección de Microsoft incluyen:

• Supervisión y controles exhaustivos sobre el entorno físico de nuestros centros de datos globales, como cámaras, proyección de personal, vallas y barreras, y varios métodos de identificación para el acceso físico.
  
  
• Redes definidas por software que protegen nuestra infraestructura de nube contra intrusiones y ataques DDoS.
  
  
• La autenticación multifactor se emplea en toda nuestra infraestructura para controlar la administración de identidades y accesos. Garantiza que los recursos y datos críticos estén protegidos por al menos dos de las siguientes opciones:
• Algo que conoce (contraseña o PIN)
• Algo que es (biometría)
• Algo que tienes (smartphone)
• La administración no persistente emplea privilegios de administrador just-in-time (JIT) y administrador suficiente (JEA) para el personal de ingeniería que administra infraestructura y servicios. Esto proporciona un conjunto único de credenciales para acceso elevado que expira automáticamente después de una duración predefinida.
  
  
• La correcta limpieza se mantiene rigurosamente a través del software antimalware actualizado y la apego a la estricta administración de revisiones y configuración.
  
  
• Centro de protección contra malware de Microsoft de investigadores identifican, invierten y desarrollan firmas de malware y, después, las implementan en toda nuestra infraestructura para la detección y defensa avanzadas. Estas firmas se distribuyen a nuestros respondedores, clientes y el sector a través Windows actualizaciones y notificaciones para proteger sus dispositivos.
  
  
• El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft es un proceso de desarrollo de software que ayuda a los desarrolladores a crear software más seguro y a cumplir los requisitos de cumplimiento de seguridad, al tiempo que reduce los costos de desarrollo. Sdl se usa para harden todas las aplicaciones, servicios en línea y productos, y para validar de forma rutinaria su eficacia mediante pruebas de penetración y análisis de vulnerabilidades.
  
  
• El modelado de amenazas y el análisis de superficie de ataque garantiza que se evalúen las amenazas potenciales, que se evalúen los aspectos expuestos del servicio y que la superficie de ataque se minimice al restringir servicios o eliminar funciones innecesarias.
  
  
• Clasificar los datos según su confidencialidad y tomar las medidas adecuadas para protegerlos, incluido el cifrado en tránsito y en reposo, y la aplicación del principio de acceso con privilegios mínimos proporciona protección adicional. • Aprendizaje de concienciación que fomenta una relación de confianza entre el usuario y el equipo de seguridad para desarrollar un entorno en el que los usuarios informen de incidentes y anomalías sin miedo a la repercusión.
  
  

Disponer de un conjunto enriquecido de controles y una estrategia de defensa en profundidad ayuda a garantizar que, en caso de que se presente un error en una área, existen controles compensatorios en otras áreas para ayudar a mantener la seguridad y privacidad de nuestros clientes, los servicios en la nube y nuestra propia infraestructura. Sin embargo, ningún entorno es realmente impenetrable, ya que los usuarios realizarán errores y los adversarios determinados seguirán buscando vulnerabilidades y explotando. Las inversiones importantes que seguimos haciendo en estas capas de protección y el análisis de línea base nos permiten detectar rápidamente cuando hay actividad anormal presente.

DETECTAR

Detectar

Los equipos de CDOC emplean software automatizado, aprendizaje automático, análisis conductual y técnicas forenses para crear un gráfico de seguridad inteligente de nuestro entorno. Esta señal se enriquece con metadatos contextuales y modelos de comportamiento generados a partir de orígenes como Active Directory, sistemas de administración de activos y configuración y registros de eventos.

Nuestras amplias inversiones en análisis de seguridad crean perfiles conductuales enriquecidos y modelos predictivos que nos permiten "conectar los puntos" e identificar amenazas avanzadas que de otro modo podrían haber pasado desapercibidas y, después, contraatacar con una contención sólida y actividades de corrección coordinadas.

Microsoft también emplea software de seguridad desarrollado a medida, junto con herramientas de desarrollo de la industria y aprendizaje automático. Nuestra inteligencia de amenazas está en constante evolución, con el enriquecimiento automatizado de datos para detectar más rápidamente la actividad malintencionada y el informe con alta fidelidad. Los análisis de vulnerabilidad se realizan periódicamente para probar y refinar la eficacia de las medidas de protección. La amplitud de la inversión de Microsoft en su ecosistema de seguridad y la variedad de señales supervisadas por los equipos de CDOC proporcionan una vista de amenazas más completa de lo que pueden lograr la mayoría de los proveedores de servicios.

Las tácticas de detección de Microsoft incluyen:

• Supervisión de entornos físicos y de red 24x7x365 para posibles eventos de ciberseguridad. La generación de perfiles de comportamiento se basa en patrones de uso y en una comprensión de las amenazas únicas para nuestros servicios.
  
  
• Los análisis de identidad y comportamiento se desarrollan para resaltar la actividad anormal.
  
  
• Las herramientas y técnicas de software de aprendizaje automático se usan de forma rutinaria para detectar y marcar las irregularidades.
  
  
• Se implementan herramientas y procesos analíticos avanzados para identificar aún más actividades anómalas y capacidades de correlación innovadoras. Esto permite crear detecciones altamentecontextualizadas a partir de los enormes volúmenes de datos en casi tiempo real.
  
  
• Procesos automatizados basados en software que se auditan y evolucionan continuamente para aumentar la eficacia.
  
  
• Los científicos de datos y los expertos en seguridad trabajan de forma rutinaria en paralelo para abordar eventos escalados que presentan características inusuales que requieren análisis adicionales de los objetivos. A continuación, pueden determinar posibles esfuerzos de respuesta y corrección.
  
  

RESPONDER

Responder

Cuando Microsoft detecta actividad anormal en nuestros sistemas, desencadena que nuestros equipos de respuesta se involucren y respondan rápidamente con una fuerza precisa. Las notificaciones de sistemas de detección basados en software fluyen a través de nuestros sistemas de respuesta automatizados con algoritmos basados en riesgos para marcar eventos que requieren intervención de nuestro equipo de respuesta. Mean-Time-to-Mitigate es fundamental y nuestro sistema de automatización proporciona a los respondedores información relevante y útil que acelera el triaje, la mitigación y la recuperación.

Para administrar incidentes de seguridad a una escala tan masiva, implementamos un sistema en niveles para asignar de forma eficiente las tareas de respuesta al recurso adecuado y facilitar una ruta de escalación racional.

Las tácticas de respuesta de Microsoft incluyen:

• Los sistemas de respuesta automatizados usan algoritmos basados en riesgos para marcar eventos que requieren intervención humana.
  
  
• Los sistemas de respuesta automatizados usan algoritmos basados en riesgos para marcar eventos que requieren intervención humana.
  
  
• Los procesos de respuesta a incidentes bien definidos, documentados y escalables dentro de un modelo de mejora continua nos ayudan a mantenernos por delante de los adversarios al hacer que estén disponibles para todos los respondedores.
  
  
• La experiencia de la materia en nuestros equipos, en varias áreas de seguridad, proporciona un conjunto de aptitudes diversos para abordar incidentes. Experiencia en seguridad en respuesta a incidentes, análisis forenses y análisis de intrusiones; y una comprensión profunda de las plataformas, servicios y aplicaciones que operan en nuestros centros de datos en la nube.
  
  
• Búsquedas empresariales amplias en sistemas y datos en la nube, híbridos y locales para determinar el ámbito de un incidente.
  
  
• Los especialistas realizan análisis forenses profundos para las amenazas principales para comprender los incidentes y ayudar a su contención y eliminación. • Las herramientas de software de seguridad de Microsoft, la automatización y la infraestructura de nube a hiperespacio permiten a nuestros expertos en seguridad reducir el tiempo para detectar, investigar, analizar, responder y recuperarse de ciberataques.
  
  
• Las pruebas de penetración se emplean en todos los productos y servicios de Microsoft a través de ejercicios continuos de equipo rojo o equipo azul para desentrabrar vulnerabilidades antes de que un verdadero adversario pueda aprovechar esos puntos débiles para un ataque.
  
  

Ciberdefensa para nuestros clientes

A menudo se nos pregunta qué herramientas y procesos pueden adoptar nuestros clientes para su propio entorno y cómo Microsoft puede ayudar en su implementación. Microsoft ha consolidado muchos de los productos y servicios de ciberdefensa que usamos en el CDOC en una amplia variedad de productos y servicios. Los equipos de Microsoft Enterprise Cybersecurity Group y Microsoft Consulting Services se comprometen con nuestros clientes para ofrecer las soluciones más adecuadas para sus necesidades y requisitos específicos.

Uno de los primeros pasos que recomienda Microsoft es establecer una base de seguridad. Nuestros servicios de base proporcionan defensas contra ataques críticos y servicios básicos de habilitación de identidades que le ayudan a garantizar que los activos están protegidos. La base le ayuda a acelerar su viaje de transformación digital para avanzar hacia una empresa moderna más segura.

A partir de esta base, los clientes pueden aprovechar las soluciones que se han probado correctamente con otros clientes de Microsoft e implementadas en los propios entornos de ti y servicios en la nube de Microsoft. Para obtener más información sobre nuestras herramientas de ciberseguridad empresarial, capacidades y ofertas de servicio, visite Microsoft.com/security y póngase en contacto con nuestros equipos en cyberservices@microsoft.com .

Procedimientos recomendados para proteger su entorno