En enero de este año, la admisión de Microsoft de un ataque exitoso por parte del grupo de hackers Midnight Blizzard, respaldado por Rusia (también conocido como APT29 o Cozy Bear), me impulsó a crear una lista de cinco preguntas para hacerle a sus líderes de TI y seguridad.
Este artículo no sustituye la lectura del informe, y recomiendo a cualquier persona interesada en el perfil de seguridad y riesgo de la Nube de hiperescala global de Microsoft que lo descargue y considere tanto el análisis detallado de la evidencia como los hallazgos de la CSRB: es una lectura bastante aleccionadora.
Sin embargo, para aquellos que no tienen tiempo para leer el informe por sí mismos, quiero resumir los puntos clave del mismo y sugerir acciones obvias a tomar y preguntas a formular, tanto a nivel organizacional como, de hecho, dentro del gobierno del Reino Unido. sí mismo.
Es digno de mención que, aunque los líderes estadounidenses han tomado medidas directas para evaluar y actuar sobre los múltiples incidentes de seguridad que afectaron a Microsoft durante el año pasado, el gobierno del Reino Unido, por el contrario (al menos en público) se ha mostrado reservado y relativamente reservado.
Esto puede reflejar la realidad de que el Reino Unido puede ejercer poca o ninguna influencia en una plataforma de Microsoft domiciliada en los EE. UU., pero también podría reflejar que las operaciones de seguridad y TI del Reino Unido (probablemente más que cualquier otro país del mundo) dependen enormemente de sobre el funcionamiento seguro de los Servicios de Nube Pública de Microsoft.
De hecho, el Reino Unido está acelerando la adopción de esas tecnologías incluso mientras Estados Unidos y otros gobiernos expresan una preocupación creciente sobre la idoneidad de la plataforma de Microsoft para el uso del sector público o de la infraestructura nacional crítica.
HMG podría simplemente haber optado por mantener su pólvora seca hasta que se encontraran y publicaran pruebas claras de problemas de seguridad. Si es así, el informe de la CSRB debería cambiar esa postura.
El informe CRSB: aspectos destacados clave
El informe es relativamente compacto con 34 páginas y, si bien se refiere a otros ataques de Microsoft reportados, incluido el ataque de Midnight Blizzard de enero de 2024, por lo demás se mantiene fiel a su informe sobre el evento de piratería Storm-0558 de mayo/junio.
El informe analiza de forma forense los fallos que condujeron al ataque y hace 25 recomendaciones:
- Cuatro de ellos se centran directamente en fallas corporativas críticas identificadas con las prácticas y la cultura de seguridad de Microsoft;
- Cinco recomiendan mejoras en los modelos de control de acceso e identidad de Microsoft para alinearse con las prácticas sólidas identificadas en Google, AWS y Oracle;
- Uno establece estándares mínimos de registro y auditoría que la CSRB cree que deberían aplicarse a todos los CSP;
- Tres recomiendan el uso de estándares de identidad abiertos, vinculados a la identificación por parte de CSRB de que las tecnologías patentadas de Microsoft Identity contribuyeron al ataque;
- Siete introducen una obligación de transparencia para los CSP ante el gobierno de los EE. UU. y para mejorar las notificaciones a las víctimas, que pueden necesitar ser implementadas cuidadosamente si no quieren infringir las preocupaciones existentes de otras legislaturas globales sobre la capacidad del gobierno de los EE. UU. para ver los servicios de los proveedores de nube de los EE. UU. ; y
- Cinco sugieren posibles cambios en los estándares NIST para la identidad en la nube y una renovación del modelo FedRAMP de EE. UU.; este último mejoraría principalmente la posición de seguridad de los usuarios de la nube del gobierno de EE. UU. en lugar de proporcionar un beneficio general a nivel mundial.
En mi último artículo de “cinco preguntas”, comencé con una pregunta sobre la postura de seguridad de Microsoft:
Microsoft se presenta como una plataforma intrínsecamente segura, ¿sigue siendo así?
La CSRB ha dado su respuesta a esta pregunta, identificando que la postura y la cultura de seguridad de Microsoft están muy por debajo de la norma para los proveedores de servicios en la nube; hasta el punto de que la CSRB le ha instado a suspender la creación de nuevas funciones cada vez más complejas hasta que haya confirmado que pueden introducirse de forma segura.
Además, la CSRB confirmó que aún se desconocen los medios por los cuales se completó el ataque Storm-0558, pero identificó la dependencia de Microsoft de productos de identidad heredados de 20 años de antigüedad, procesos deficientes de administración manual de claves y registros y auditorías deficientes como debilidades clave. explotados por estos y otros atacantes.
Anteriormente postulé que Microsoft tal vez nunca pueda demostrar que su plataforma es 100% segura después del hackeo de Midnight Blizzard, y la CSRB ha puesto ese desafío en el escritorio de la Junta Ejecutiva de Microsoft, para demostrar que se toma en serio la seguridad y que una vez puede hacerlo. nuevamente ser considerada una plataforma confiable.
Cinco preguntas para hacer
Para las organizaciones que consumen Microsoft, las cinco preguntas actualizadas que ahora podríamos hacer son:
¿Los nuevos productos introducidos por Microsoft han mejorado o debilitado su seguridad?
Microsoft ha comenzado el lanzamiento global/disponibilidad general de las herramientas basadas en IA/LLM de Copilot para todos los clientes, ya sea mediante un pago adicional o junto con licencias empresariales.
Sin embargo, la adopción de Copilot no ha sido bien recibida universalmente, y el Congreso de los EE. UU. prohibió el uso de Copilot en sus dispositivos alegando preocupaciones sobre el control de los datos que ingiere y sobre los que informa.
Dado el informe de la CSRB y las recomendaciones de que Microsoft debería volver al paradigma de Bill Gates de 2002 de “seguridad y privacidad sobre nuevas funcionalidades”, ¿cómo sabemos que estos servicios brindan los beneficios que Microsoft ha sugerido?
Microsoft confirmó que los piratas informáticos de Midnight Blizzard estuvieron dentro de sus sistemas hasta 42 días antes de ser encontrados, a pesar de que las tecnologías Security Copilot habilitadas por IA monitorean los entornos.
Las herramientas de seguridad de IA de próxima generación han sido lanzadas agresivamente y adoptadas a buen ritmo por la mayoría de los clientes de Microsoft durante los últimos seis meses, pero ¿tiene razón la CSRB al sugerir que su seguridad subyacente y su valor de seguridad podrían no justificar el riesgo de su adopción? ?
¿Realmente mejoramos nuestra seguridad mediante su uso, o simplemente tenemos una falsa sensación de comodidad y los atacantes podrían utilizar la información que contienen como arma para identificar vulnerabilidades o diseñar nuevos ataques?
¿Es probable que seamos objetivo de futuros ataques a través de los servicios de Microsoft?
Microsoft ha afirmado anteriormente que los ataques a su infraestructura han tenido efectos estrictamente limitados en los clientes, al mismo tiempo que en enero recomendó a “gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI, principalmente en los EE. UU. y Europa” que fueran conscientes. de ataques a servicios de Microsoft y asesorándoles sobre cómo identificar si habían sido comprometidos (blog de inteligencia sobre amenazas de seguridad).
El informe de la CSRB ha ido más allá e identifica que los organismos gubernamentales y los operadores de infraestructura nacional crítica (CNI) que ejecutan servicios en plataformas en la nube de Microsoft son de hecho un objetivo clave para los piratas informáticos chinos y otros patrocinados por el estado.
En este sentido, es importante que comprendamos que el Reino Unido probablemente corre un riesgo mucho mayor que sus aliados, ya que tiene servicios de nube nacionales limitados y depende casi exclusivamente de las plataformas de nube de Microsoft y AWS para las funciones clave del Estado. El gobierno de EE. UU. utiliza ampliamente la nube de Microsoft, pero principalmente en su versión FedRAMP, con domicilio en EE. UU. y garantía federal, y no la plataforma de nube pública que utiliza el Reino Unido.
Es poco probable que el gobierno del Reino Unido comprenda adecuadamente su exposición al riesgo en la plataforma en la nube de Microsoft en la actualidad (y esto también podría ser válido para las organizaciones no gubernamentales).
Durante la última década, la adopción de los servicios de nube pública de Microsoft por parte del sector público del Reino Unido ha sido relativamente ilimitada, mientras que los registros del gasto público en Microsoft a menudo figuran en contratos otorgados a socios e integradores de servicios, o figuran como “licencias” y, por lo tanto, pueden ser inexactos. .
Comprender exactamente en qué servicios de Microsoft confía, como la identidad basada en la nube, es más importante ahora que nunca (al igual que los mecanismos de respaldo en caso de falla o pérdida de servicios).
También es vital asegurarse de saber qué aplicaciones y servicios tiene en la infraestructura de la nube de Microsoft y exactamente qué datos contiene cada uno.
A nivel gubernamental, el Reino Unido necesita realizar una auditoría adecuada del uso de la nube por parte de cada organismo público y crear un registro nacional de activos de información.
Sólo una vez que tengamos ambas cosas podremos esperar comprender nuestra postura de riesgo nacional.
Si tuviéramos que desconectarnos de Microsoft, ¿qué significaría para nuestras operaciones comerciales?
Esta pregunta es tan válida ahora como cuando la planteé por primera vez, con la consideración adicional de que, si bien anteriormente podría haber habido algunos indicios de compromiso y debilidades de seguridad en Microsoft; El informe de la CSRB ha confirmado ahora que ambas posibilidades son hechos evidentes.
Además, las organizaciones que han comenzado a adoptar (o confiar en) los servicios Azure o 365 recientemente implementados podrían querer prepararse para la eventualidad de que Microsoft pueda retirarlos o suspenderlos, lo que podría verse obligado a hacer si las recomendaciones al presidente de los EE. UU. realizadas por la CSRB se cumplen.
Por lo tanto, las inversiones en la última tecnología podrían entrañar ahora algún riesgo adicional, o podría ser necesario revisar los planes del proyecto.
Este no es un riesgo urgente de “actuar ahora”; dudo que veamos reducciones en el servicio a gran escala, pero merece una cuidadosa vigilancia. Quizás sea más probable que las próximas funciones permanezcan en versión beta o en vista previa limitada durante un período de tiempo más largo.
¿Siguen siendo válidas las decisiones que tomamos anteriormente basadas en la aceptación del riesgo?
Hoy en día, todas las organizaciones operan con cierto grado de aceptación de riesgos y, para ello, debemos revisar periódicamente nuestra posición de riesgo a medida que cambian las circunstancias.
El informe CSRB identifica una serie de comportamientos preocupantes y una baja priorización de la seguridad en Microsoft, y si su aceptación del riesgo se basó en parte en buenas prácticas de seguridad intrínsecas por parte de Microsoft, entonces podría ser prudente leer el informe CSRB y decidir si debe volver a examinarlos.
Recientemente, Google ha anunciado una alternativa al “modelo de responsabilidad compartida” para la nube, y dado que en el caso de Microsoft su responsabilidad de mantener la seguridad de la nube parece haber sido mal cumplida, quizás valga la pena considerar el modelo de “Destino Compartido” de Google, y podría estar más equitativamente equilibrado.
¿Deberíamos buscar una plataforma en la nube diferente, o incluso el autohospedaje?
Si bien la CSRB ha sido muy crítica con Microsoft, en general se ha mostrado positiva respecto de los servicios en la nube en general y ha señalado buenas prácticas específicas en Google, AWS y Oracle que sugieren que su confianza subyacente en la nube como modelo de entrega sigue siendo fuerte.
En última instancia, decidir abandonar su actual proveedor de nube es una decisión difícil que no debe tomarse sin pensarlo detenidamente, a menos que crea que es una plataforma intrínsecamente insegura para su uso particular.
Para algunos servicios gubernamentales no sería descabellado llegar a esa conclusión basándose en el informe de la CSRB, pero aun así, es probable que ninguna migración gubernamental desde Microsoft sea fácil o aceptable en el clima actual.
Sin embargo, ahora existe una base sólida para considerar una pausa en la adopción adicional de la plataforma Microsoft, y tal vez incluso aplicar una moratoria en su uso para algunos tipos de datos hasta que se tome acción sobre el informe CSRB, y los medios exactos por los cuales Microsoft estaba comprometido está determinado.
Incluso ahora, nueve meses después del ataque, la CSRB ha identificado que Microsoft todavía no tiene una comprensión clara de cómo Storm-0558 pudo invadir tan profundamente los servicios de identificación de Microsoft, y eso debería preocuparnos a todos.
Sería imprudente que el gobierno del Reino Unido no actuara de manera significativa en relación con este informe, dados los hallazgos detallados del análisis estadounidense y la cita periódica de las investigaciones del NCSC en el informe.
Aunque la política Cloud First de HMG a menudo se cita como justificación para impulsar los servicios a la nube pública, eso debe equilibrarse con las decisiones basadas en evidencia que se esperan de los organismos públicos que decidan hacerlo.
Los Principios de seguridad en la nube del NCSC identifican varios casos de uso y advertencias en los que el uso de la nube pública puede no ser la opción correcta, pero pocas organizaciones utilizan los principios como estaban previstos: para evaluar y ayudar a seleccionar una plataforma de nube adecuada, en lugar de como una casilla de cumplimiento. ejercicio.
En conclusión
El uso de servicios de nube pública siempre ha sido un ejercicio de equilibrio entre riesgo y recompensa y, por el momento, el informe de la CSRB sugiere que las recompensas que se obtendrán del uso de Microsoft podrían, para muchas organizaciones, y por primera vez, verse superadas en cierta medida por la riesgos planteados por su cultura corporativa y malas prácticas de seguridad.
Ésta es la decisión a la que se enfrentan ahora los clientes de Microsoft, tanto comerciales como del sector público: a la luz del informe de la CSRB, ¿la confianza en Microsoft está fuera de lugar?
¿Necesitamos moderar o comenzar a reducir nuestra dependencia de la nube de Microsoft, o deberíamos seguir adelante de todos modos y esperar no caer en el próximo…