Asegurar nuestro futuro: Informe sobre el progreso de la Iniciativa Futuro Seguro de Microsoft

futuroMicrosoftprogreso
DPL News
Crédito: Microsoft

Prensa Microsoft

Microsoft Secure Future Initiative (SFI) es el mayor proyecto de ingeniería de ciberseguridad de la historia y el mayor esfuerzo de este tipo llevado a cabo en Microsoft. Desde su lanzamiento, hemos dedicado el equivalente a 34.000 ingenieros trabajando a tiempo completo durante 11 meses para mitigar los riesgos y abordar las tareas de seguridad más prioritarias. Hoy compartimos el segundo informe sobre el progreso de esta iniciativa, que destaca los avances logrados en nuestro viaje de varios años para mejorar la estrategia de seguridad de Microsoft, por nuestros clientes y la industria en general.

Hemos progresado en cultura y gobernanza, fomentando en cada empleado la mentalidad de que la seguridad es lo primero e invirtiendo en estructuras de gobernanza holísticas para abordar los riesgos de ciberseguridad en toda nuestra empresa.

Para proteger mejor a nuestros clientes, nuestros equipos de ingeniería están aportando innovaciones acordes con nuestros principios de seguridad, como el nuevo conjunto de herramientas UX Secure by Design, que hemos probado con 20 equipos de producto, distribuido a 22.000 empleados y compartido públicamente. Este conjunto de herramientas integra las mejores prácticas de seguridad en el desarrollo de productos y ya está dando resultados. Incluye las mejores prácticas, pautas de conversación y herramientas de formación para ayudar a los equipos a crear capacidades de seguridad, detectar vulnerabilidades en los productos y establecer prioridades en las que centrarse.

También hemos progresado en todos los pilares y objetivos de ingeniería, reforzando continuamente nuestra seguridad de identidad, reduciendo el riesgo de movimientos laterales a través de redes y tenants, , mejorando nuestra capacidad para detectar y responder a las amenazas, y colaborando activamente con el sector para proteger a los clientes de vulnerabilidades Zero Day.

Para proteger mejor las claves de firma, en septiembre de 2024 anunciamos que habíamos trasladado las claves de firma de Entra ID y los tokens de acceso a Microsoft Account (MSA), a módulos de seguridad basados en hardware (HSM) y seguridad basada en virtualización en Windows, con rotación automática. Desde entonces, hemos implementado nuevas capas de protección con un enfoque de defensa en profundidad, basándonos en los hallazgos de nuestras investigaciones y las evaluaciones realizadas por nuestro equipo Red Team, migrando el servicio de firma de MSA a VM confidenciales de Azure y estamos migrando el servicio de Entra ID a lo mismo. Cada una de estas mejoras ayuda a mitigar los vectores de ataque que sospechamos que el actor malicioso utilizó en el ataque de Storm-0558 contra Microsoft en 2023.

Asimismo, hemos mejorado nuestra capacidad para detectar y responder a las amenazas, añadiendo más de 200 detecciones adicionales contra las principales tácticas, técnicas y procedimientos (TTPs), que se integrará en Microsoft Defender. En colaboración con la comunidad de investigación en seguridad, identificamos proactivamente 180 vulnerabilidades en áreas de alto impacto de la cloud y la IA.y ampliamos nuestro programa para abordar vulnerabilidades en un tiempo reducido de mitigación, cubriendo más productos, entornos y niveles inferiores de severidad.

A continuación se incluyen los aspectos más destacados del informe sobre el progreso de la iniciativa SFI:

Seguridad desde el diseño, por defecto y en las operaciones
En este informe, encontrarás ejemplos de cómo en Microsoft estamos incorporando protecciones desde el inicio, en consonancia con nuestros principios de seguridad:

El nuevo Secure by Design UX Toolkit, probado por 20 equipos de producto y desplegado a 22.000 empleados, y con pública versión disponible, está ayudando a los equipos a construir más seguridad en experiencias centradas en el usuario.
El lanzamiento de 11 nuevas innovaciones en Microsoft Azure, Microsoft 365, Windows y Microsoft Security que ayudan a mejorar la seguridad por defecto.
Los procesos de desarrollo de IA que ahora incluyen revisiones dedicadas de seguridad y protección dirigidas por la Organización de Seguridad y Protección de la Inteligencia Artificial Generativa.
Aplicación de prácticas de operaciones seguras en todos nuestros sistemas de IA, como se indica en nuestro Informe de transparencia de IA responsable.
Nuevas políticas, modelos de detección basados en comportamiento y métodos de investigación que frustraron intentos de fraude por valor de 000 millones de dólares.

DPL News 56952 posts

Digital Policy & Law es una empresa especializada en el análisis estratégico de las políticas públicas de telecomunicaciones, TIC y economía digital.

También podría gustarte Más del autor
Más historias

Big Tech estadounidenses piden políticas que fomenten el desarrollo de IA frente China

Mastercard revoluciona los pagos con IA y lanza Agent Pay

Vestel Ingenieros reduce la emisión de 500 toneladas de CO2 con ayuda de la Inteligencia Artificial de Microsoft

1 De 324

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies