Centro de operaciones de defensa de ciberseguridad de Microsoft

Uso compartido de los procedimientos recomendados de Microsoft para proteger, detectar y responder a amenazas de ciberseguridad

La ciberseguridad es una responsabilidad compartida, que nos afecta a todos. Hoy en día, una única infracción, física o virtual, puede causar millones de dólares de daño a una organización y potencialmente miles de millones de pérdidas financieras a la economía global. Todos los días, vemos informes de ciberdelincuentes dirigidos a empresas y individuos con fines financieros o socialmente motivados. Agregue a estas amenazas las que los actores del estado nacional buscan interrumpir las operaciones, llevar a cabo el espionaje o, por lo general, perjudicar la confianza.

En este breve resumen, compartimos el estado de seguridad en línea, actores de amenazas y las tácticas sofisticadas que emplean para avanzar en sus objetivos, y cómo el Centro de operaciones de ciberdefensa de Microsoft combate estas amenazas y ayuda a los clientes a proteger sus aplicaciones y datos confidenciales.



Centro de operaciones de Microsoft Cyber Defense

El Centro de operaciones de defensa cibernética de Microsoft

Microsoft está profundamente comprometido a hacer que el mundo en línea sea más seguro para todos. Las estrategias de ciberseguridad de nuestra empresa han evolucionado desde la visibilidad única que tenemos en el panorama cibernético en constante evolución.

La innovación en el espacio de ataque entre personas, lugares y procesos es una inversión necesaria y continua que todos necesitamos hacer, a medida que los adversarios siguen evolucionando tanto en determinación como en sofisticación. En respuesta a las mayores inversiones en estrategias de defensa por parte de muchas organizaciones, los atacantes están adaptando y mejorando sus tácticas a una velocidad vertiginosa. Afortunadamente, los ciberdefenders, como los equipos de seguridad de la información global de Microsoft, también están innovando e interrumpiendo métodos de ataque de larga confianza con tecnologías, herramientas y procesos de seguridad modernos, avanzados y continuos.

El Centro de operaciones de Microsoft Cyber Defense (CDOC) es un ejemplo de los más de 100 millones de dólares que invertimos cada año en seguridad, protección de datos y administración de riesgos. El CDOC reúne a especialistas en ciberseguridad y científicos de datos en una instalación de 24x7 para combatir amenazas en tiempo real. Estamos conectados a más de 3500 profesionales de seguridad globalmente en nuestros equipos de desarrollo de productos, grupos de seguridad de la información y equipos legales para proteger nuestra infraestructura y servicios en la nube, productos y dispositivos y recursos internos.

Microsoft ha invertido más de $15 mil millones en nuestra infraestructura en la nube, con más del 90 % de las empresas fortune 500 que usan la nube de Microsoft. Hoy en día, poseemos y operamos una de las superficies de nube más grandes del mundo con más de 100 centros de datos distribuidos geográficamente, 200 servicios en la nube, millones de dispositivos y mil millones de clientes de todo el mundo.

Actores y motivaciones de amenazas de ciberseguridad

El primer paso para proteger a personas, dispositivos, datos e infraestructura crítica es comprender los distintos tipos de actores de amenazas y sus motivaciones.
  • Los ciberdelincuentes abarcan varias subcategorías, aunque a menudo comparten motivaciones comunes: ganancias financieras, de inteligencia o sociales o políticas. Su enfoque es generalmente directo: infiltrando un sistema de datos financieros, sustrayendo micro importes demasiado pequeños para ser detectados y saliendo antes de ser descubiertos. Mantener una presencia clandestina persistente es fundamental para cumplir su objetivo.

    Su enfoque puede ser una intrusión que desvía un gran pago financiero a través de un laberinto de cuentas para eludir el seguimiento y la intervención. En ocasiones, el objetivo es robar la propiedad intelectual que posee el objetivo para que el ciberdelincuencia actúe como intermediario para entregar un diseño de producto, código fuente de software u otra información propietaria que tenga valor para una entidad específica. Más de la mitad de estas actividades son perpetradas por grupos criminales organizados.

  • Los actores estatales trabajan para un gobierno para interrumpir o comprometer gobiernos, organizaciones o individuos objetivo para obtener acceso a información o datos valiosos. Están involucrados en asuntos internacionales para influir e impulsar un resultado que pueda beneficiar a un país o región. El objetivo de un actor nacional es interrumpir las operaciones, realizar espionaje contra las corporaciones, robar secretos de otros gobiernos o, de lo contrario, perjudicar la confianza en las instituciones. Trabajan con grandes recursos a su disposición y sin miedo a la retribución legal, con un kit de herramientas que abarca de simple a muy complejo.

    Los actores estatales pueden atraer a algunos de los más sofisticados talento de ciberpiratería y pueden avanzar sus herramientas hasta el punto de convertirlas en armas. Su enfoque de intrusión suele implicar una amenaza persistente avanzada que usa el poder de superequipos para romper las credenciales por fuerza bruta a través de millones de intentos al llegar a la contraseña correcta. También pueden usar ataques de phishing hiper-dirigidos para atraer a una persona interna a que revele sus credenciales.

  • Las amenazas internas son particularmente difíciles debido a la imprevisibilidad del comportamiento humano. La motivación de un interno puede ser oportunista y buscar obtener ganancias financieras. Sin embargo, hay varias causas de posibles amenazas internas, que abarcan desde una simple falta de cuidado a esquemas sofisticados. Muchas infracciones de datos resultantes de amenazas internas son completamente involuntarias debido a actividades accidentales o accidentales que ponen en riesgo una organización sin tener en cuenta la vulnerabilidad.

  • Los hacktivistas se centran en ataques políticos o socialmente motivados. Se esfuerzan por ser visibles y reconocidos en las noticias para llamar la atención a sí mismos y su causa. Sus tácticas incluyen ataques por denegación de servicio distribuidos (DDoS), explotación de vulnerabilidades o desfiguración de una presencia en línea. Una conexión a un problema social o político puede hacer que cualquier empresa u organización sea un objetivo. Las redes sociales permiten a los hacktivistas evangelizar rápidamente su causa y contratar a otros para participar.


$4 millones es el costo medio de la vulneración de datos en 2017

Técnicas del actor de amenaza

Los adversarios son expertos en encontrar formas de penetrar la red de una organización a pesar de las protecciones en su lugar mediante diversas técnicas sofisticadas. Varias tácticas han estado alrededor desde los primeros días de Internet, aunque otros reflejan la creatividad y la sofisticación creciente de los adversarios actuales.

  • La ingeniería social es un término amplio para un ataque que engaña a los usuarios a actuar o divulgar información que de otro modo no harían. La ingeniería social juega con las buenas intenciones de la mayoría de las personas y su voluntad de ser útil, para evitar problemas, confiar en fuentes familiares o ganar potencialmente una recompensa. Otros vectores de ataque pueden estar bajo el paraguas de la ingeniería social, pero los siguientes son algunos de los atributos que hacen que las tácticas de ingeniería social sean más fáciles de reconocer y defender contra:
    • Los correos electrónicos de suplantación de identidad son una herramienta eficaz porque juegan con el vínculo más débil de la cadena de seguridad, los usuarios cotidianos que no piensan en la seguridad de red como algo importante. Una campaña de suplantación de identidad (phishing) puede invitar a un usuario o asustar a un usuario a compartir sus credenciales inadvertidamente engañando para hacer clic en un vínculo que cree que es un sitio legítimo o descargar un archivo que contenga código malintencionado. Los correos electrónicos de suplantación de identidad solían estar mal escritos y fáciles de reconocer. Hoy en día, los adversarios se han convertido en expertos en imitar correos electrónicos legítimos y sitios de aterrizaje que son difíciles de identificar como fraudulentos.
    • La suplantación de identidad implica un adversario enmascarado como otro usuario legítimo mediante la falsificación de la información presentada a una aplicación o recurso de red. Un ejemplo es un correo electrónico que llega aparentemente con la dirección de un compañero que solicita acción, pero la dirección oculta el origen real del remitente del correo electrónico. Del mismo modo, se puede suplantar una dirección URL para que aparezca como un sitio legítimo, pero la dirección IP real apunta realmente a un sitio del ciberdelincuencia.

  • Malware ha estado con nosotros desde el amanecer de la informática. En la actualidad, estamos viendo un fuerte ataque de ransomware y código malintencionado específicamente diseñado para cifrar dispositivos y datos. A continuación, los ciberdelincuentes exigen el pago en criptomoneda por las claves para desbloquear y devolver el control a la víctima. Esto puede ocurrir en un nivel individual en el equipo y los archivos de datos, o ahora con más frecuencia, en toda una empresa. El uso de ransomware es particularmente notable en el sector sanitario, ya que las consecuencias de vida o muerte que enfrentan estas organizaciones las hacen extremadamente sensibles a las interrupciones de la red.

  • La inserción de la cadena de suministro es un ejemplo de un enfoque creativo para insertar malware en una red. Por ejemplo, al secuestrar un proceso de actualización de aplicaciones, un adversario evita las herramientas y protecciones antimalware. Estamos viendo que esta técnica se vuelve más común y esta amenaza seguirá creciendo hasta que los desarrolladores de aplicaciones infundan protecciones de seguridad más completas.

  • Los ataques de tipo "man in the middle" implican una inserción de adversarios entre un usuario y un recurso al que acceden, interceptando así información crítica, como las credenciales de inicio de sesión de un usuario. Por ejemplo, un ciberdelincuencia en una cafetería puede emplear software de registro de claves para capturar las credenciales de dominio de los usuarios a medida que se unen a la red wifi. A continuación, el actor de amenazas puede obtener acceso a la información confidencial del usuario, como la información bancaria y personal que puede usar o vender en la web oscura.

  • Los ataques por denegación de servicio distribuido (DDoS) han estado alrededor de más de una década y son ataques masivos que se están volviendo más comunes con el rápido crecimiento de Internet de las cosas (IoT). Cuando se usa esta técnica, un adversario sobrecarga un sitio al bombardearlo con tráfico malintencionado que desplaza las consultas legítimas. El malware plantado previamente se usa a menudo para secuestrar un dispositivo IoT, como una cámara web o termostato inteligente. En un ataque DDoS, el tráfico entrante de diferentes orígenes inunda una red con numerosas solicitudes. Esto sobrecarga a los servidores y deniega el acceso a las solicitudes legítimas. Muchos ataques implican la falsificación de direcciones IP remitentes (suplantación de direcciones IP) también, para que la ubicación de las máquinas expuestas a ataques no se pueda identificar y derrotar fácilmente.

    A menudo, se usa un ataque por denegación de servicio para cubrir o distraer de un esfuerzo más engañoso para penetrar una organización. En la mayoría de los casos, el objetivo del adversario es obtener acceso a una red mediante credenciales en peligro y, a continuación, desplazarse lateralmente por la red para obtener acceso a credenciales más "eficaces" que son las claves de la información más confidencial y valiosa dentro de la organización.


90% de todos los ciberataques comienzan con un correo electrónico de suplantación de identidad (phishing)

La militarización del ciberespacio

La creciente posibilidad de ciberwarfare es una de las principales preocupaciones entre los gobiernos y los ciudadanos hoy en día. Implica que los estados nacionales usen y apunten a computadoras y redes en el contexto de la guerra.

Tanto las operaciones ofensivas como defensivas se usan para llevar a cabo ciberataques, espionaje y sabotaje. Los estados nacionales han estado desarrollando sus capacidades y se han dedicado a ciberwarfare ya sea como atacantes, acusados o ambos durante muchos años.

Las nuevas herramientas y tácticas de amenaza desarrolladas a través de inversiones militares avanzadas también se pueden comprometer y las ciberamenazas se pueden compartir en línea y ser convertidas en armas por ciberdelincuentes para su uso posterior.

La posición de ciberseguridad de Microsoft

Aunque la seguridad siempre ha sido una prioridad para Microsoft, reconocemos que el mundo digital requiere avances continuos en nuestro compromiso en la forma en que protegemos, detectamos y respondemos a las amenazas de ciberseguridad. Estos tres compromisos definen nuestro enfoque de ciberdefensa y sirven como marco útil para nuestro análisis de las estrategias y capacidades de defensa cibernética de Microsoft.

PROTEGER

Las campañas de suplantación de identidad continúan siendo la punta de lanza de las infracciones relacionadas con el espionaje

Protección

El primer compromiso de Microsoft es proteger el entorno informático utilizado por nuestros clientes y empleados para garantizar la resistencia de nuestra infraestructura y servicios en la nube, productos, dispositivos y recursos corporativos internos de la empresa frente a adversarios determinados.

Las medidas de protección de los equipos de CDOC abarcan todos los puntos de conexión, desde sensores y centros de datos hasta identidades y aplicaciones de software como servicio (SaaS). La defensa en profundidad, que aplica controles en varias capas con medidas de seguridad superpuestas y estrategias de mitigación de riesgos, es una práctica recomendada en todo el sector y es el enfoque que adoptamos para proteger nuestros valiosos activos corporativos y de clientes.

Las tácticas de protección de Microsoft incluyen:

  • Supervisión y controles exhaustivos sobre el entorno físico de nuestros centros de datos globales, incluidas cámaras, evaluación de personal, vallas y barreras, y varios métodos de identificación para el acceso físico.

  • Redes definidas por software que protegen nuestra infraestructura en la nube frente a intrusiones y ataques DDoS.

  • La autenticación multifactor se emplea en toda nuestra infraestructura para controlar la administración de identidades y acceso. Garantiza que los recursos y los datos críticos estén protegidos por al menos dos de los siguientes:
    • Algo que sepa (contraseña o PIN)
    • Algo que eres (biometría).
    • Algo que tienes (smartphone)
  • La administración no persistente emplea privilegios Just-In-Time (JIT) y de administrador con privilegios suficientes (JEA) para el personal de ingeniería que gestiona la infraestructura y los servicios. Esto proporciona un conjunto único de credenciales para el acceso con privilegios elevados que expira automáticamente después de una duración designada previamente.

  • La higiene adecuada se mantiene rigurosamente a través de software antimalware actualizado y el cumplimiento estricto de la actualización de parches y la gestión de la configuración.

  • El equipo de investigadores del Centro de Protección contra el Malware de Microsoft identifica, realiza ingeniería inversa y desarrolla firmas de malware y, a continuación, las implementa en toda nuestra infraestructura para la detección y defensa avanzadas. Estas firmas se distribuyen a nuestros respondedores, clientes y el sector a través de actualizaciones y notificaciones de Windows para proteger sus dispositivos.

  • El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft es un proceso de desarrollo de software que ayuda a los desarrolladores a crear software más seguro y abordar los requisitos de cumplimiento de seguridad al tiempo que reduce el costo de desarrollo. El SDL se usa para proteger todas las aplicaciones, servicios en línea y productos, y para validar rutinariamente su eficacia a través de pruebas de penetración y examen de vulnerabilidades.

  • El modelado de amenazas y el análisis de la superficie expuesta a ataques garantizan que se evalúen las posibles amenazas, se evalúen los aspectos expuestos del servicio y la superficie expuesta a ataques se minimice mediante la restricción de los servicios o la eliminación de funciones innecesarias.

  • Clasificar los datos según su confidencialidad y tomar las medidas adecuadas para protegerlos, incluido el cifrado en tránsito y en reposo, y aplicar el principio de acceso con privilegios mínimos proporciona protección adicional. • Formación de concienciación que fomenta una relación de confianza entre el usuario y el equipo de seguridad para desarrollar un entorno en el que los usuarios notificarán incidentes y anomalías sin miedo a la repercusión.

Tener un amplio conjunto de controles y una estrategia de defensa en profundidad ayuda a garantizar que si una área falla, hay controles compensantes en otras áreas para ayudar a mantener la seguridad y privacidad de nuestros clientes, servicios en la nube y nuestra propia infraestructura. Sin embargo, ningún entorno es verdaderamente impenetrable, ya que las personas realizarán errores y los adversarios determinados seguirán buscando vulnerabilidades y las aprovecharán. Las inversiones significativas que seguimos realizando en estas capas de protección y análisis de línea de base nos permiten detectar rápidamente cuando hay actividad anómala.

DETECTAR

57+ días es el número medio de días del sector entre infiltración y detección

Detecar

Los equipos de CDOC emplean software automatizado, aprendizaje automático, análisis de comportamiento y técnicas forenses para crear un grafo de seguridad inteligente de nuestro entorno. Esta señal se enriquece con metadatos contextuales y modelos de comportamiento generados a partir de orígenes como Active Directory, sistemas de administración de recursos y configuración, y registros de eventos.

Nuestras amplias inversiones en análisis de seguridad crean perfiles de comportamiento enriquecidos y modelos predictivos que nos permiten "conectar los puntos" e identificar amenazas avanzadas que, de lo contrario, podrían no detectarse y luego contrarrestar con fuerte contención y actividades de corrección coordinadas.

Microsoft también emplea software de seguridad desarrollado de forma personalizada, junto con herramientas líderes en la industria y aprendizaje automático. Nuestra inteligencia sobre amenazas está evolucionando continuamente, con enriquecimiento automatizado de datos para detectar más rápidamente actividades malintencionadas e informar con alta fidelidad. Los exámenes de vulnerabilidad se realizan periódicamente para probar y refinar la eficacia de las medidas de protección. La amplitud de la inversión de Microsoft en su ecosistema de seguridad y la variedad de señales supervisadas por los equipos de CDOC proporcionan una vista de amenazas más completa que la mayoría de los proveedores de servicios pueden lograr.

Las tácticas de detección de Microsoft incluyen:

  • Supervisión de entornos físicos y de red 24x7x365 para posibles eventos de ciberseguridad. La generación de perfiles de comportamiento se basa en los patrones de uso y una comprensión de las amenazas únicas para nuestros servicios.

  • El análisis de identidades y comportamiento se desarrolla para resaltar la actividad anómala.

  • Las herramientas y técnicas de software de aprendizaje automático se usan habitualmente para detectar y marcar irregularidades.

  • Las herramientas y los procesos analíticos avanzados se implementan para identificar aún más la actividad anómala y las capacidades innovadoras de correlación. Esto permite crear detecciones altamentecontextualizadas a partir de los enormes volúmenes de datos casi en tiempo real.

  • Procesos automatizados basados en software que se auditan continuamente y evolucionan para aumentar la eficacia.

  • Los científicos de datos y expertos en seguridad trabajan habitualmente en paralelo para abordar eventos escalados que muestran características inusuales que requieren un análisis adicional de los objetivos. Después, pueden determinar posibles esfuerzos de respuesta y corrección.

RESPONDER

90% de todos los incidentes de seguridad de la información son denegación de servicio, ataques de aplicaciones web y crimeware

Respuesta

Cuando Microsoft detecta una actividad anómala en nuestros sistemas, desencadena a nuestros equipos de respuesta para interactuar y responder rápidamente con fuerza precisa. Las notificaciones de los sistemas de detección basados en software fluyen a través de nuestros sistemas de respuesta automatizados mediante algoritmos basados en riesgos para marcar eventos que requieren intervención de nuestro equipo de respuesta. El tiempo medio para mitigar es fundamental y nuestro sistema de automatización proporciona a los respondedores información relevante y procesable que acelera la evaluación de prioridades, la mitigación y la recuperación.

Para administrar incidentes de seguridad a gran escala, implementamos un sistema en capas para asignar de forma eficaz tareas de respuesta al recurso adecuado y facilitar una ruta de escalación racional.

Las tácticas de respuesta de Microsoft incluyen:

  • Los sistemas de respuesta automatizados usan algoritmos basados en riesgos para marcar eventos que requieren intervención humana.

  • Los sistemas de respuesta automatizados usan algoritmos basados en riesgos para marcar eventos que requieren intervención humana.

  • Los procesos de respuesta a incidentes bien definidos, documentados y escalables dentro de un modelo de mejora continua ayudan a mantenernos al día de los adversarios al poner estos a disposición de todos los respondedores.

  • La experiencia en la materia en todos nuestros equipos, en varias áreas de seguridad, proporciona un conjunto de aptitudes diverso para abordar incidentes. Experiencia en seguridad en la respuesta a incidentes, forenses y análisis de intrusiones; y una comprensión profunda de las plataformas, servicios y aplicaciones que funcionan en nuestros centros de datos en la nube.

  • Búsqueda amplia en toda la empresa a través de datos y sistemas en la nube, híbridos y locales para determinar el ámbito de un incidente.

  • Los especialistas realizan un análisis forense profundo de las principales amenazas para comprender los incidentes y ayudar en su contención y erradicación. • Las herramientas de software de seguridad de Microsoft, la automatización y la infraestructura en la nube a gran escala permiten a nuestros expertos de seguridad reducir el tiempo para detectar, investigar, analizar, responder y recuperarse de ciberataques.

  • Las pruebas de penetración se emplean en todos los productos y servicios de Microsoft a través de ejercicios continuos del equipo rojo o azul para detectar vulnerabilidades antes de que un adversario real pueda aprovechar esos puntos débiles para un ataque.

Ciberdefense para nuestros clientes

A menudo se nos pregunta qué herramientas y procesos pueden adoptar nuestros clientes para su propio entorno y cómo Microsoft podría ayudar en su implementación. Microsoft ha consolidado muchos de los productos y servicios de ciberdefense que usamos en el CDOC en una gama de productos y servicios. Los equipos de Microsoft Enterprise Cybersecurity Group y Servicios de consultoría de Microsoft interactúan con nuestros clientes para ofrecer las soluciones más adecuadas para sus necesidades y requisitos específicos.

Uno de los primeros pasos que Microsoft recomienda es establecer una base de seguridad. Nuestros servicios fundamentales proporcionan defensas críticas contra ataques y servicios básicos de habilitación de identidades que le ayudan a garantizar que los recursos están protegidos. La fundación le ayuda a acelerar su proceso de transformación digital para avanzar hacia una empresa moderna más segura.

Basándose en esta base, los clientes pueden aprovechar las soluciones probadas con éxito con otros clientes de Microsoft e implementarse en los propios entornos de TI y servicios en la nube de Microsoft. Para obtener más información sobre nuestras herramientas de ciberseguridad empresarial, funcionalidades y ofertas de servicio, visite Microsoft.com/security y póngase en contacto con nuestros equipos en cyberservices@microsoft.com.

Procedimientos recomendados para proteger el entorno

Invertir en su plataforma Invertir en la instrumentación Invertir en su gente
La agilidad y la escalabilidad requieren planificación y creación de plataformas habilitadas Asegúrese de medir exhaustivamente los elementos de la plataforma. Los analistas y científicos de datos cualificados son la base de la defensa, mientras que los usuarios son el nuevo perímetro de seguridad.
Mantenimiento de un inventario bien documentado de los recursos Adquisición o compilación de las herramientas necesarias para supervisar completamente la red, los hosts y los registros Establece relaciones y líneas de comunicación entre el equipo de respuesta a incidentes y otros grupos.
Tener una directiva de seguridad bien definida con estándares claros e instrucciones para su organización Mantener de forma proactiva los controles y medidas, y probarlos periódicamente para obtener precisión y eficacia Adoptar principios de administrador de privilegios mínimos; eliminar derechos de administrador persistentes
Mantener una higiene adecuada: la mayoría de los ataques podrían evitarse con revisiones oportunas y antivirus Mantener un control estricto sobre las directivas de administración de cambios Uso del proceso de aprendizaje de lecciones para obtener valor de todos los incidentes principales
Emplear la autenticación multifactor para reforzar la protección de cuentas y dispositivos Supervisión de la actividad anómala de cuentas y credenciales para detectar abusos Inscribir, educar y capacitar a los usuarios para reconocer amenazas probables y su propio rol en la protección de los datos empresariales
  • Last updated on