Microsoft explica cómo maneja las actualizaciones de seguridad para los servicios en la nube

Como cualquier software para acceder a Internet, los servicios en la nube también son objeto de ciberataques. Hemos visto ejemplos recientes de vulnerabilidades de FabricScape y AutoWarp presentes en la nube de Microsoft Azure. La compañía ahora ha compartido algunos detalles sobre cómo maneja la seguridad y los procesos de actualización cuando se trata de servicios en la nube.

En una publicación de blog del vicepresidente corporativo de Microsoft Security Response Center (MSRC), Anchal Gupta, titulada «La anatomía de una actualización de seguridad de servicios en la nube», el ejecutivo habló sobre el trabajo del departamento en ciberseguridad.

Cuando se trata de identificar vulnerabilidades en la nube, Microsoft dice que tiene 8500 expertos en seguridad disponibles para proteger a Azure las 24 horas del día. La empresa también cuenta con un Centro de Operaciones de Ciberdefensa (CDOC), que reúne la experiencia en seguridad de varios departamentos para hacer frente a amenazas más complejas. Cuenta con equipos rojos y azules que también revisan periódicamente sus defensas y, si hay algún problema, se notifica de inmediato a los clientes afectados y los expertos de Microsoft ayudan a asegurar sus respectivos perímetros.

Pero no es solo un proceso interno, Microsoft también está colaborando con socios e investigadores de seguridad independientes a través de su programa Bug Bounty. El año pasado, la firma otorgó a los investigadores 13 millones de dólares para descubrir e informar de forma privada varios errores.

Pasando a corregir las vulnerabilidades, Microsoft enfatizó que el principal beneficio en este frente es que las actualizaciones de seguridad se implementan para los clientes tan pronto como están listas. No hay un proceso de instalación de parches de los martes y, por lo general, los clientes no necesitan realizar ninguna acción para implementar los parches. Explicó su proceso de respuesta a incidentes de seguridad de la siguiente manera:

• Detección: los problemas son informados por expertos en seguridad internos o socios externos, y nuestros equipos de seguridad 24/7 responden en consecuencia y comienzan una evaluación. ​
• Remediación: después de evaluar el problema, nuestros equipos trabajan día y noche para identificar y probar la remediación. Esto incluye el análisis de opciones y la búsqueda de causas raíz para poder solucionar clases completas de problemas en lugar de vulnerabilidades individuales cuando sea posible. También probamos exhaustivamente las correcciones para garantizar la compatibilidad y la integridad de los datos.
• Implementación: una vez que el mitigador está listo y probado, lo implementamos en tiempo real en nuestros servicios en la nube. Esto no está vinculado al marco de tiempo de la actualización del martes: estas actualizaciones se realizan regularmente según sea necesario.

Sin embargo, el trabajo no se detiene cuando se implementan los parches. También hay una revisión posterior al incidente para discutir cómo se pueden mejorar los procesos y obtener comentarios de los clientes.

Microsoft marca las vulnerabilidades de la nube con un código CVE solo cuando se requiere la acción del usuario, de acuerdo con el estándar de la industria. La compañía generalmente recomienda tomar las medidas necesarias lo antes posible. Afirma generar confianza en el cliente notificando a las personas afectadas de inmediato y brindándoles total transparencia sobre el alcance del problema y la acción necesaria en respuesta, si corresponde. Esta información se proporciona de forma confidencial, por lo que los usuarios de Azure están listos para implementar antes de que la vulnerabilidad sea de conocimiento público.

Si bien el gigante tecnológico con sede en Redmond trabaja las 24 horas para reforzar sus defensas basadas en la nube, también recomendó que las personas lean la guía de mejores prácticas de seguridad de Microsoft .