Por: Bret Arsenault, vicepresidente corporativo y asesor principal de ciberseguridad.
En Microsoft, evolucionamos de manera continua nuestra estrategia de ciberseguridad para adelantarnos a las amenazas dirigidas a nuestros productos y clientes. Como parte de nuestros esfuerzos por priorizar la transparencia y la rendición de cuentas, lanzamos una serie periódica sobre los hitos y el progreso de la Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés), un compromiso de varios años que avanza la forma en que diseñamos, construimos, probamos y operamos nuestra tecnología para ayudar a garantizar que ofrecemos productos y servicios seguros, confiables y confiables, lo que permite a nuestros clientes alcanzar sus objetivos de transformación digital y proteger sus datos y activos de actores maliciosos.
La misión de Microsoft de capacitar a todas las personas y organizaciones del planeta para que logren más depende de la seguridad. Reconocemos que cuando Microsoft desempeña un papel en la tecnología pionera de vanguardia, también tenemos la responsabilidad de liderar el camino para proteger a nuestros clientes y nuestra propia infraestructura de las amenazas cibernéticas. Frente al ritmo exponencialmente creciente, la escala y la complejidad del panorama de la seguridad, es fundamental que evolucionemos para ser más dinámicos, proactivos e integrados en nuestro modelo de seguridad para satisfacer las necesidades y expectativas cambiantes de nuestros clientes y del mercado. Nuestra rica historia en innovación es un testimonio de nuestro compromiso de ofrecer productos y servicios impactantes y confiables que dan forma a las industrias y transforman vidas. Este legado continúa a medida que trabajamos de manera constante para establecer nuevos puntos de referencia para salvaguardar nuestro futuro digital.
Para ampliar nuestra base de seguridad integrada, en noviembre de 2023 lanzamos la Iniciativa de Futuro Seguro (SFI) para abordar de manera directa la creciente velocidad, escala y sofisticación de los ciberataques que presenciamos hoy en día. Esta iniciativa es una estrategia anticipatoria que refleja las acciones que tomamos para «construir mejor y responder mejor» en seguridad, a través de la automatización y la IA para escalar este trabajo y fortalecer la protección de la identidad contra ciberataques altamente sofisticados. No se trata de adaptar nuestras defensas a un solo ciberataque: SFI subraya la importancia de un modelo de seguridad en evolución continua y proactiva que se adapte al panorama digital en constante cambio.
Han pasado cuatro meses desde que presentamos SFI, y los logros en nuestros desarrollos de ingeniería demuestran las acciones concretas que hemos implementado para asegurarnos de que la infraestructura de seguridad de Microsoft se mantenga sólida en un entorno digital en constante cambio. Lean más a continuación para obtener actualizaciones sobre la iniciativa.
Transformar el desarrollo de software con automatización e IA
Como señalamos en nuestro anuncio de SFI del 2 de noviembre de 2023, evolucionamos nuestro ciclo de vida de desarrollo de seguridad (SDL, por sus siglas en inglés) a SDL continuo, que definimos como la aplicación de procesos sistemáticos para integrar de manera continua la protección de ciberseguridad contra los patrones de amenazas emergentes a medida que nuestros ingenieros codifican, prueban, implementan y operan nuestros sistemas y servicios. Obtengan más información sobre SDL continuo aquí.
Como parte de nuestra evolución hacia el SDL continuo, implementamos CodeQL para el análisis de código en el 100% de nuestros productos comerciales. CodeQL es una poderosa herramienta de análisis estático en el espacio de seguridad del software. Ofrece capacidades avanzadas en numerosos lenguajes de programación que detectan errores de seguridad complejos dentro del código fuente. Si bien nuestros repositorios de código pasan por una rigurosa evaluación de SDL que aprovecha las herramientas tradicionales, como parte de nuestro trabajo de SFI, ahora usamos CodeQL para cubrir el 86% de nuestros repositorios de código de Azure DevOps de nuestros negocios comerciales en nuestros grupos de nube e inteligencia artificial, empresas y dispositivos, seguridad y misiones estratégicas, y tecnología. Ampliamos esto aún más y anticipamos que completar el proceso de consolidación del último 14% será un viaje complejo de varios años debido a que los repositorios de código específicos y las herramientas de ingeniería requieren trabajo adicional. En 2023, incorporamos más de mil millones de líneas de código fuente a CodeQL, lo que pone de manifiesto nuestro compromiso con el progreso.
Como parte de los esfuerzos para ampliar la adopción de lenguajes seguros para la memoria, donamos 1 millón de dólares en diciembre de 2023 a la Fundación Rust, un socio integral en la administración del lenguaje de programación Rust. Además, proporcionamos 3,2 millones de dólares adicionales al proyecto Alpha-Omega. En asociación con la Open Source Security Foundation (OpenSSF) y codirigido con Google y Amazon, la misión de Alpha-Omega es catalizar mejoras de seguridad en los proyectos de software de código abierto implementados de manera más amplia y ecosistemas críticos para la infraestructura global. Nuestra contribución de este año ayudará a ampliar la cobertura, lo que duplica con creces el número de proyectos de código abierto implementados de manera amplia que analizamos, incluidas 100 de las bibliotecas de IA de código abierto más utilizadas. El Informe Anual Alpha-Omega 2023 destaca las mejoras en seguridad y procesos con respecto al año pasado y avanza hacia el fomento de una cultura sostenible de seguridad dentro de las comunidades de código abierto.
Juntos, nuestros avances impulsados por SFI en la expansión continua de SDL, el fomento de actualizaciones seguras de código abierto y la adopción de lenguajes seguros para la memoria fortalecen la base del software en todos los productos y plataformas de Microsoft, así como en la industria en general.
Fortalecimiento de la protección de la identidad frente a ataques de alta sofisticación
Como parte de nuestros avances de ingeniería de SFI, aplicamos el uso de bibliotecas de identidad estándar, como la Biblioteca de autenticación de Microsoft (MSAL, por sus siglas en inglés), en toda la empresa en Microsoft. Esta iniciativa es fundamental para lograr un marco de verificación de identidad cohesivo y confiable. Facilita la administración fluida y conforme a las directivas de las identidades de usuario, dispositivo y servicio en todas las plataformas y productos de Microsoft, lo que garantiza una postura de seguridad reforzada y coherente.
Nuestros esfuerzos ya han tenido logros notables en varias áreas clave. Hemos alcanzado un hito importante con la integración completa de MSAL en Microsoft 365 en las cuatro plataformas principales: Windows, macOS, iOS y Android, lo que supone un avance significativo hacia la estandarización universal. Esta integración garantiza que las aplicaciones de Microsoft 365 estén respaldadas por un mecanismo de autenticación unificado. En el ecosistema de Azure, que abarca herramientas críticas como Microsoft Visual Studio, Azure SDK y Microsoft Azure CLI, MSAL se ha adoptado por completo, lo que subraya nuestro compromiso con los procesos de autenticación seguros y optimizados dentro de nuestras herramientas de desarrollo. Además, más del 99% de las solicitudes internas de autenticación de servicio a servicio, que utilizan Microsoft Entra para la autorización, ahora utilizan MSAL, lo que pone de manifiesto nuestra dedicación a aumentar la seguridad y la eficiencia en las comunicaciones entre servicios. En última instancia, estos hitos refuerzan aún más la identidad y la autorización en todo nuestro vasto estado, lo que hace que sea cada vez más difícil para las amenazas y los intrusos moverse entre usuarios y sistemas.
De cara al futuro, establecimos objetivos ambiciosos para reforzar aún más nuestra infraestructura de seguridad. Para finales de este año, nuestro objetivo es automatizar por completo la administración de las claves de Microsoft Entra ID y Microsoft Account (MSA). Este proceso incluirá una rotación rápida y un almacenamiento seguro de las claves dentro de los módulos de seguridad de hardware (HSM, por sus siglas en inglés), lo que mejorará de manera significativa nuestras medidas de seguridad. Además, estamos en camino de garantizar que las aplicaciones más utilizadas de Microsoft hagan la transición a las bibliotecas de identidad estándar para finales de año. A través de estos esfuerzos colectivos, nuestro objetivo no solo es mejorar la seguridad, sino también mejorar la experiencia del usuario y agilizar los procesos de autenticación en toda nuestra gama de productos.
Manténganse al día con las últimas actualizaciones de la Iniciativa Futuro Seguro
A medida que avanzamos con el SFI, Microsoft se mantiene firme en su compromiso de evolucionar de manera continua nuestra postura de seguridad y proporcionar transparencia en nuestras comunicaciones. Nos dedicamos a innovar, proteger y liderar en una era en la que las amenazas digitales cambian de manera constante. El progreso que hemos compartido hoy es solo una fracción de nuestra estrategia integral para salvaguardar la infraestructura digital y a nuestros clientes que dependen de ella.
En los próximos meses, compartiremos nuestro progreso en la mejora de nuestras capacidades, la implementación de tecnologías innovadoras y el fortalecimiento de nuestras colaboraciones para abordar las complejidades de la ciberseguridad. Estamos comprometidos con la construcción de un mundo digital más seguro y resiliente, con un enfoque en la transparencia y la seguridad en cada paso.
Para obtener más información sobre el SFI de Microsoft y leer más detalles sobre nuestros tres avances de ingeniería, visiten nuestro sitio de seguridad integrado.
Obtengan más información sobre las soluciones de seguridad de Microsoft y agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.