La seguridad comienza desde la mentalidad. Microsoft lo explica

En septiembre de 2001 hubo un ataque que en todos los aspectos cambió la historia: el 18 de septiembre de 2001 de hecho ha comenzado a extenderse Nimda, un gusano que ha infectado una gran cantidad de servidores corporativos. Nimda funcionó como la memoria de Pirandell “silbato de tren” para Microsoft, quien decidió comenzar su acción de protección de ciberseguridad de una manera más estructurada y compleja que antes. Una iniciativa cuyas implicaciones aún son visibles hoy en día, en los productos de Microsoft y más allá.

Microsoft y la ciberseguridad: una historia que abarca casi veinte años

Nimda era una gusano y, como tal, sí autopropagado: Los gusanos infectan una computadora y luego la usan para replicar e infectar a otros. Su nombre es “admin” leído al revés y su origen radica en la forma en que Microsoft lo configuró IIS(o Internet Information Services, el servidor web de Microsoft).

“En ese momento, la filosofía era hacer que el software fuera simple de usar y, por lo tanto, entregado a los clientes con muchas funciones habilitadas por defecto, para que estuvieran activos, lo quisieran o no “explica Cyril Voisin, asesor jefe de seguridad de Microsoft. “Esta elección se hizo para que la barrera de entrada a tener su propio sitio web fuera muy baja. Lo que sucedió es que hubo una vulnerabilidad en el software de Microsoft, preinstalado en todas partes, y por lo tanto, un gusano tuvo una vida fácil de difundir en todas partes. “

De esta experiencia, Microsoft ha extraído una lección importante: no es suficiente crear sistemas que sean fáciles de usar y que hagan lo que quieras, necesitamos crear sistemas que también sean seguros. Por esta razón, la compañía detuvo por completo el desarrollo de sus productos en febrero de 2002: todos los desarrolladores tuvieron que capacitarse en el campo de la seguridad.

Voisin lo explica de esta manera: “Al final, ¿qué es un software seguro? Es un software que hace lo que debe hacer y no hace nada más., para que nadie pueda sabotearlo para obligarlo a hacer algo que no fue planeado. Y en cierto momento nos dimos cuenta de que teníamos que integrar la seguridad en la fase de ingeniería de nuestros productos. Es en este punto que creamos el Ciclo de vida del desarrollo de seguridad, que es un proceso para integrar la seguridad en el software. “

SDL es ahora un estándar ISO, 27034 para precisión, y es ampliamente utilizado en el mundo del desarrollo de software. Puede verse como una primera forma de lo que ahora se llama enfoque seguridad por diseño: la seguridad de un producto ya se considera en la fase de diseño y es una parte integral del mismo. Hoy en día esto se cree la estrategia más efectiva en la creación de nuevos productos.

Seguridad hoy: no confiar en nadie es vital

El enfoque general de la seguridad también ha cambiado. Voisin compara el modelo de la época con un castello: defensas externas fuertes, como un cortafuegos, pero sin control de lo que está presente en el interior. Como en un castillo, se da por sentado que los enemigos están fuera de los muros y que solo las entidades de confianza están presentes dentro. “Sin embargo, como dice Bret Arsenault, este enfoque es insuficiente porque aprendimos que eso no es cierto. Hoy los atacantes ya no destruyen los muros del castillo. Simplemente inician sesión como alguien en la fuerza laboral, roban la identidad de un usuario. Y en ese punto ya no son reconocibles. “

El modelo más utilizado hoy en día es el de la ciudad: ya no existe solo el perímetro externo, sino que hay un perímetro interno que se distribuye por todas partes. Sin embargo, como siempre, hay dificultades para pasar al nuevo modelo y tomará algún tiempo antes de que se difunda ampliamente. El enfoque de seguridad también evolucionó con este modelo.

“El enfoque en términos de redes había evolucionado en Network Access Control, es decir: se verifica que la máquina sea conocida antes de conectarla a la red corporativa o a una VPN. Pero en 2010 Forrester acuñó el término “confianza cero” [zero fiducia, letteralmente]. La idea era que debemos ir más allá de confiar implícitamente en la red corporativa, o en cualquier red, y debemos asuma que no todo es confiable hasta que se demuestre lo contrario. “

Un enfoque que realmente llega a no confiar en nada ni en nadie, porque ahora se ha entendido que los ataques están en la agenda y que todos, tarde o temprano, serán víctimas de ellos. “En Microsoft apoyamos un enfoque llamado” asumir incumplimiento ” [dai per scontato che ci siano falle], que reconoce que lo que importa no es Lo sé te atacarán, pero Cuando te atacarán con éxito“.

Hay tres principios detrás del enfoque de “confianza cero”:

  • verificar explícitamente: cada acceso debe verificarse y compararse con los anteriores para identificar anomalías;
  • acceso con el menor privilegio (acceso menos privilegiado): este aspecto es bien conocido y se ha utilizado durante algún tiempo en las computadoras: el usuario común no tiene acceso con permisos de administración (o root en sistemas similares a UNIX), pero con privilegios reducidos. Del mismo modo, los usuarios deben tener el acceso mínimo requerido para realizar sus funciones en cualquier área;
  • dar por sentado que hay lagunas (asumir incumplimiento): Debe darse por sentado que existen fallas en la defensa que los atacantes están explotando activamente y, en consecuencia, regulando su propia actividad, limitando la información a la que pueden tener acceso.

Un ejemplo de aplicación de estas reglas es el creación de muchas redes pequeñas, cada uno con acceso a recursos específicos, en lugar de solo una red grande. Tomando el ejemplo de Microsoft, no tiene sentido que el personal de administración acceda al código fuente de Windows o que los ingenieros accedan a documentos legales: los dos deben separarse creando redes diferentes. De esta manera, se supone que alguien puede ingresar a la red, pero en ese punto sus opciones son limitadas.

El futuro entre la inteligencia artificial, la nube y la ausencia de contraseñas.

Sin embargo, el futuro de la seguridad ya no está hecho solo por personas. L ‘inteligencia artificial Será una pieza fundamental del rompecabezas y permitirá reaccionar mejor a los ataques y las necesidades del mundo de hoy.

“Hoy en día, un analista de seguridad trabaja productivamente solo el 30% del tiempo. El 70% del tiempo se dedica a tareas que no le dan valor agregado, lo que podría hacer una máquina. Es en este contexto que queremos que ingrese I jugar inteligencia artificial, por dos razones: la primera es que queremos eliminar el ruido, la información inútil que se recopila y genera alertas sin constituir, sin embargo, nada significativo. El segundo es el capacidad de detectar [le minacce]: Utilizamos docenas de algoritmos para detectar nuevas amenazas y ofrecer esta capacidad a nuestros clientes. Nuestras soluciones se hablan entre sí, de modo que si llega un archivo adjunto malicioso, una PC con Windows puede reconocerlo incluso si no llega por correo electrónico. “

Este enfoque, que podríamos llamar holístico, también se aplica a la seguridad. nube. Microsoft invierte alrededor de $ 1 mil millones al año por la seguridad de su nube y este esfuerzo ha significado que Deutsche Bank lo reconozca como “el mayor proveedor de soluciones de seguridad del mundo”. “No estoy seguro de que sea verdad”dice Voisin “Pero cada vez más clientes y socios nos reconocen como referencia. Gartner y Forrester dicen que Microsoft es un vendedor seguridad, y esto confirma que su percepción está cambiando“.

De acuerdo con Voisin no volveremos a la situación previa a la pandemia“y no deberíamos, para mí” – Pero esto lleva a nuevos desafíos de seguridad: “Lo que me preocupa ahora es que podríamos descubre algunos compromisos que se realizó durante la transición del trabajo de oficina al trabajo a domicilio; En aquel entonces, el objetivo era simplemente hacer que las cosas funcionaran, y la seguridad era más que un pensamiento distante. Pero el trabajo a distancia requiere capacitación. Y el cambio por parte de las compañías al ofrecer servicios y aplicaciones reduciendo el esfuerzo que necesitan los usuarios pero maximizando la seguridad. “

Le preguntamos a Voisin si habrá más atención en el futuro. eliminar el peso de los hombros de los usuarios, por ejemplo, ir más allá del concepto de cambio continuo de contraseña. “Es algo a lo que apuntamos. El mayor problema hoy es el cuerpos reguladores: si vas a un inspector y le dices que no usas contraseñas porque usas otros factores de autenticación, generalmente no son muy felices. Pero las cosas están cambiando en esta dirección. [per superare le password]. Por lo demás, no diría que no habrá peso para los usuarios porque, después de todo, la seguridad es el conjunto de tres ingredientes: personas, procesos y tecnologías.. Y las personas son muy importantes. Una persona siempre puede ser manipulada, incluso si no se usan contraseñas. Para esto las personas siempre jugarán un papel clave, pero estoy de acuerdo en que si podemos facilitarles la vida al no pedirles la contraseña todo el tiempo, deberíamos hacerlo. “