Centro de operaciones de ciberseguridad de Microsoft

  • Artículo

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

La ciberseguridad es una responsabilidad compartida que nos afecta a todos. En la actualidad, una única infracción, física o virtual, puede causar millones de dólares de daños a una organización y potencialmente miles de millones de pérdidas financieras para la economía global. Cada día, vemos informes de ciberdelincuentes que dirigen sus ataques a empresas y usuarios con fines financieros o debido a una motivación social. A estas amenazas se suman las de actores de una nación que buscan interrumpir las operaciones, llevar a cabo operaciones de espionaje o, por lo general, dañar la confianza de la gente.

En este resumen se comparten el estado de la seguridad en línea, los actores de amenazas y las sofisticadas tácticas que emplean para avanzar en sus objetivos; también se indican los procedimientos que usa el Centro de operaciones de ciberdefensa de Microsoft para combatir estas amenazas y ayudar a los clientes a proteger sus aplicaciones y datos confidenciales.



Microsoft Cyber Defense Operations Center

Centro de operaciones de ciberdefensa de Microsoft

Microsoft se ha comprometido a hacer que el mundo en línea sea más seguro para todos. Las estrategias de ciberseguridad de nuestra empresa han evolucionado a partir de la visibilidad única que tenemos de un panorama de ciberseguridad que está en constante evolución.

La innovación en los ámbitos de ataque contra personas, lugares y procesos es una inversión necesaria y continua que todos debemos realizar, ya que los atacantes siguen evolucionando tanto en determinación como en sofisticación. En respuesta al aumento de las inversiones en estrategias de defensa por parte de muchas organizaciones, estos atacantes están adaptando y mejorando tácticas sin descanso. Afortunadamente, ciberdefensores como los equipos de seguridad de información global de Microsoft, también están dispuestos a innovar e interrumpir métodos de ataque que ya eran fiables de por si, gracias a la formación continua y avanzada, a la tecnología, las herramientas y los procesos de seguridad modernos.

El Centro de operaciones de ciberdefensa de Microsoft (CDOC) es un ejemplo de los más de 1000 millones de dólares que invertimos cada año en seguridad, protección de datos y administración de riesgos. En el CDOC se reúnen especialistas en ciberseguridad y científicos de datos de primer orden mundial, en unas instalaciones que funcionan ininterrumpidamente para combatir las amenazas en tiempo real. Estamos conectados con más de 3500 profesionales de seguridad en todo el mundo que forman parte de nuestros equipos de desarrollo de productos, grupos de seguridad de la información y equipos legales para proteger nuestra infraestructura y servicios en la nube, productos y dispositivos y recursos internos.

Microsoft ha invertido más de 15 000 millones de dólares en su infraestructura en la nube, ya que más del 90 % de las empresas de Fortune 500 usan la nube de Microsoft. Hoy en día, poseemos y operamos una de las superficies en la nube más grandes del mundo con más de 100 centros de datos distribuidos geográficamente, 200 servicios en la nube, millones de dispositivos y mil millones de clientes en todo el mundo.

Motivaciones y actores de amenazas de ciberseguridad

El primer paso para proteger a las personas, los dispositivos, los datos y la infraestructura crítica es comprender los distintos tipos de actores de amenazas y sus motivaciones.
  • Los ciberdelincuentes abarcan varias subcategorías, aunque a menudo comparten motivaciones comunes: obtener ganancias financieras, datos o reconocimiento social o político. Su enfoque suele ser directo, ya que se infiltran en un sistema de datos financieros para extraer pequeñas cantidades de dinero, que son demasiado pequeñas para detectarlas; a continuación, salen del sistema antes de ser descubiertos. Mantener una presencia persistente y clandestina es fundamental para cumplir su objetivo.

    Su enfoque puede ser una intrusión que desvía un gran pago financiero a través de unbyrinth de cuentas para evitar el seguimiento y la intervención. En ocasiones, el objetivo es robar la propiedad intelectual del objetivo para que el ciberdelincuente actúe como intermediario y así entregar un diseño del producto, el código fuente del software u otra información de su propiedad que tenga valor para una entidad específica. Más de la mitad de estas actividades son perpetradas por grupos delictivos organizados.

  • Los actores estatales trabajan para que un gobierno interrumpa o comprometa a otros gobiernos, organizaciones o individuos, y así obtener acceso a datos o inteligencia valiosos. Están involucrados en asuntos internacionales para influir e impulsar un resultado que pueda beneficiar a un país o países. El objetivo de un actor estatal es interrumpir las operaciones, realizar espionaje contra corporaciones, robar secretos de otros gobiernos o socavar la confianza en las instituciones. Tienen grandes recursos a su disposición que abarcan un conjunto de herramientas que van de las más simple a las más complejas, y trabajan sin temor a represalias legales.

    Los actores estatales pueden atraer a algunos de los piratas informáticos más sofisticados y pueden mejorar sus herramientas hasta el punto de convertirlas en armas. Su enfoque de intrusión a menudo implica una amenaza persistente avanzada que usa la capacidad de la supercomputación para obtener las credenciales por medio de la fuerza bruta, realizando millones de intentos hasta llegar a la contraseña correcta. También pueden utilizar ataques de suplantación de identidad hiperdirigidos para atraer a una persona con información privilegiada y que así revele sus credenciales.

  • Las amenazas internas son especialmente difíciles de controlar debido a la imprevisibilidad del comportamiento humano. La motivación de un trabajador interno puede ser oportunista y puede tener como objetivo obtener ganancias financieras. Sin embargo, existen varias causas de posibles amenazas internas, que van desde un simple descuido hasta los planes más sofisticados. Muchas vulneraciones de los datos resultantes de amenazas internas son completamente involuntarias debido a actividades accidentales o negligentes que ponen en riesgo a una organización sin que esta sea consciente de la vulnerabilidad.

  • Los hacktivistas se centran en ataques de índole política o social. Se esfuerzan para ser visibles y reconocidos en las noticias, y así llamar la atención sobre sí mismos y su causa. Sus tácticas incluyen ataques distribuidos de denegación de servicio (DDoS), buscar las vulnerabilidades de seguridad o degradar a alguien en línea. Una conexión a un problema social o político puede convertir a cualquier empresa u organización en un objetivo. Las redes sociales permiten a los "hacktivistas" hacer rápidamente proselitismo de su causa y reclutar a otros usuarios para que participen.


$4 million is the average cost of data breach in 2017

Técnicas de un actor de amenazas

Los atacantes son expertos en encontrar maneras de penetrar la red de una organización a pesar de las protecciones que se hayan puesto en marcha mediante diversas técnicas sofisticadas. Varias tácticas han existido desde los primeros días de Internet, aunque otras reflejan la creatividad y la creciente sofisticación de los adversarios de hoy día.

  • La ingeniería social es un término amplio para un ataque que hace que los usuarios realicen ciertas acciones o divulguen información que, de lo contrario, no harían. La ingeniería social juega con las buenas intenciones de la mayoría de las personas y su voluntad de ayudar, evitar problemas, confiar en fuentes familiares o en ganar una recompensa potencial. Otros vectores de ataque pueden abarcarse en la ingeniería social, pero los siguientes son algunos de los atributos que hacen que sea más fácil reconocer las tácticas de ingeniería social y defenderse de ellas:
    • Los correos electrónicos de suplantación de identidad (phishing) son una herramienta eficaz porque juegan contra el eslabón más débil de la cadena de seguridad: los usuarios cotidianos que no piensan en la seguridad de la red como una prioridad. Una campaña de suplantación de identidad puede invitar o asustar a un usuario para que comparta inadvertidamente sus credenciales; para ello, lo engaña para que haga clic en un enlace que parece un sitio legítimo o para que descargue un archivo que contiene código malicioso. Los correos electrónicos de suplantación de identidad (phishing) suelen estar mal escritos y son fáciles de reconocer. Hoy en día, los adversarios se han vuelto expertos en imitar correos electrónicos legítimos y sitios de destino que son difíciles de identificar como fraudulentos.
    • La suplantación de identidad implica a un adversario que se hace pasar por otro usuario legítimo, ya que falsifica la información que se proporciona a una aplicación o recurso de red. Un ejemplo es un correo electrónico que aparentemente llega con la dirección de un colega que solicita una acción, pero la dirección oculta la fuente real del remitente del correo electrónico. De manera similar, se puede falsificar una dirección URL para que parezca un sitio legítimo, pero la dirección IP real apunta en realidad al sitio de un ciberdelincuente.

  • El malware ha estado con nosotros desde el inicio de la informática. Hoy en día, podemos comprobar que existe un fuerte aumento en el ransomware y en los códigos maliciosos destinados específicamente a encriptar dispositivos y datos. Los ciberdelincuentes exigen el pago en criptomonedas para desbloquear las claves y devolver el control a la víctima. Esto puede suceder a nivel individual en su equipo y en archivos de datos o, con mayor frecuencia, en toda una empresa. El uso de ransomware es particularmente pronunciado en el campo de la salud, ya que las consecuencias de vida o muerte a las que enfrentan estas organizaciones las hacen muy sensibles al tiempo de inactividad de la red.

  • La inserción en la cadena de suministro es un ejemplo de un enfoque creativo para insertar malware en una red. Por ejemplo, al secuestrar el proceso de actualización de una aplicación, un adversario elude las herramientas y protecciones antimalware. Esta técnica se está volviendo cada vez más común, y la amenaza seguirá creciendo hasta que los desarrolladores de aplicaciones creen protecciones de seguridad más completas para el software.

  • Los ataques de tipo Man-in-the-middle involucran a un adversario que se inserta entre un usuario y un recurso al que está accediendo, interceptando así información crítica como las credenciales de inicio de sesión de un usuario. Por ejemplo, un ciberdelincuente en una cafetería puede emplear un software de registro de claves para capturar las credenciales de dominio de un usuario cuando se una a la red wifi. A continuación, el actor de la amenaza puede obtener acceso a la información confidencial del usuario, como información bancaria y personal que puede usar o vender en la web oscura.

  • Los ataques de Denegación de servicio distribuido (DDoS) han existido durante más de una década y son ataques masivos que se están volviendo cada vez más comunes debido al rápido crecimiento del Internet de las cosas (IoT). Al usar esta técnica, un adversario sobrecarga un sitio saturándolo con tráfico malicioso que desplaza las consultas legítimas. El malware que se ha instalado previamente se usa a menudo para secuestrar un dispositivo de IoT, como una cámara web o un termostato inteligente. En un ataque DDoS, el tráfico entrante de diferentes orígenes desborda una red con numerosas solicitudes. Esto sobrecarga los servidores y deniega el acceso a solicitudes legítimas. Muchos ataques también implican la falsificación de direcciones IP de remitentes (suplantación de direcciones IP), de modo que la ubicación de las máquinas atacantes no se puede identificar y eliminar fácilmente.

    A menudo, un ataque de denegación de servicio se usa como distracción para cubrir un esfuerzo aún más engañoso para entrar en una organización. En la mayoría de los casos, el objetivo del adversario es obtener acceso a una red mediante credenciales comprometidas, y desplazarse de forma lateral a través de la red para obtener acceso a credenciales más "eficaces" que son las claves de la información más confidencial y valiosa de la organización.


90% of all cyberattacks start with a phishing email

La militarización del ciberespacio

La creciente posibilidad de una guerra cibernética es una de las principales preocupaciones de los gobiernos y los ciudadanos de hoy en día. Implica que las naciones usen y tengan como objetivo equipos y redes en una guerra.

Tanto las operaciones ofensivas como las defensivas se usan para realizar ciberataques, para el espionaje y el sabotaje. Las naciones han estado desarrollando sus capacidades y se han involucrado en la guerra cibernética ya sea como agresores, defensores o ambos durante muchos años.

También se pueden vulnerar las nuevas herramientas y tácticas contra amenazas desarrolladas gracias a inversiones militares avanzadas de un país; asimismo, las ciberamenazas se pueden compartir en línea para que los ciberdelincuentes las usen.

La posición de ciberseguridad de Microsoft

Si bien la seguridad siempre ha sido una prioridad para Microsoft, reconocemos que el mundo digital requiere avances continuos en nuestro compromiso sobre cómo protegemos, detectamos y respondemos a las amenazas de ciberseguridad. Estos tres compromisos definen nuestro enfoque de ciberdefensa y sirven como marco útil para la discusión de las estrategias y funcionalidades de ciberdefensa de Microsoft.

PROTECCIÓN

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Protección

El primer compromiso de Microsoft es proteger el entorno informático que usan nuestros clientes y empleados para garantizar la resistencia de nuestra infraestructura y servicios en la nube, productos, dispositivos y recursos corporativos internos de la empresa, frente a determinados adversarios.

Las medidas de protección de los equipos de CDOC abarcan todos los puntos de conexión, desde sensores y centros de datos hasta identidades y aplicaciones de software como servicio (SaaS). La defensa en profundidad —esto es, aplicar controles en varias capas con medidas de seguridad superpuestas y estrategias de mitigación de riesgos— es una de las mejores prácticas del sector, y es el enfoque que adoptamos para proteger nuestros valiosos recursos corporativos y de clientes.

Las tácticas de protección de Microsoft incluyen:

  • Supervisión y controles exhaustivos sobre el entorno físico de nuestros centros de datos globales, como cámaras, filtrado de personal, barreras y varios métodos de identificación para el acceso físico.

  • Redes definidas por software que protegen nuestra infraestructura en la nube frente a intrusiones y ataques DDoS.

  • La autenticación multifactor se emplea en toda nuestra infraestructura para controlar la administración de identidades y el acceso. Gracias a ella, se garantiza que los datos y los recursos críticos están protegidos por al menos dos de los siguientes elementos:
    • Algo que usted sabe (generalmente una contraseña o un PIN).
    • Un elemento físico que le identifica (biométrica).
    • Algo que tiene (un smartphone)
  • La administración no persistente emplea privilegios Just-In-Time (JIT) y Just-Enough-Administrator (JEA) para el personal de ingeniería que administra la infraestructura y los servicios. Esto proporciona un conjunto único de credenciales para el acceso con privilegios elevados que expira automáticamente después de una duración designada previamente.

  • La protección adecuada se mantiene rigurosamente a través de un software antimalware actualizado y que cumple con la estricta aplicación de revisiones y administración de la configuración.

  • El equipo de investigadores del Centro de protección contra malware de Microsoft identifica, diseña y desarrolla firmas de malware y, a continuación, las implementa en nuestra infraestructura para la detección y defensa avanzadas. Estas firmas se distribuyen a los respondedores, los clientes y el sector a través de actualizaciones de Windows y notificaciones para proteger los dispositivos.

  • El Ciclo de vida de desarrollo de seguridad de Microsoft (SDL) es un proceso de desarrollo de software que permite a los desarrolladores crear software más seguro y a abordar los requisitos de cumplimiento de seguridad, a la vez que se reduce el costo de desarrollo. SDL se usa para mejorar todas las aplicaciones, servicios en línea y productos, y para validar de forma rutinaria su eficacia mediante pruebas de penetración y análisis de vulnerabilidades.

  • El modelado de amenazas y el análisis de la superficie de ataque garantizan que se evalúen las amenazas potenciales, se examinen los aspectos expuestos del servicio y se minimice la superficie de ataque mediante la restricción de servicios o la eliminación de funciones innecesarias.

  • La clasificación de datos según su confidencialidad y la toma de las medidas adecuadas para protegerlos, incluido el cifrado en tránsito y en reposo, así como la aplicación del principio de acceso con privilegios mínimos, proporcionan protección adicional. • Aprendizaje de reconocimiento que fomenta una relación de confianza entre el usuario y el equipo de seguridad para desarrollar un entorno en el que los usuarios informen de incidentes y anomalías sin miedo a repercusiones.

Gracias a un amplio conjunto de controles y una estrategia de defensa en profundidad podemos garantizar que, en caso de que se produzca algún error en cualquier área, habrá controles de compensación en otras áreas para mantener la seguridad y la privacidad de nuestros clientes, los servicios en la nube y nuestra propia infraestructura. Sin embargo, recuerde que ningún entorno es realmente impenetrable, ya que las personas cometerán errores y los adversarios decididos continuarán buscando vulnerabilidades y aprovechándose de ellas. Por ello, las importantes inversiones que seguimos haciendo en estas capas de protección y el análisis de línea de base nos permiten detectar rápidamente cuando hay alguna actividad anormal.

DETECCIÓN

57+ days is the industry's median number of days between infiltration and detection

Detectar

Los equipos de CDOC emplean software automatizado, aprendizaje automático, análisis de comportamiento y técnicas forenses para crear un gráfico de seguridad inteligente de nuestro entorno. Esta señal se enriquece con metadatos contextuales y modelos de comportamiento generados a partir de orígenes como Active Directory, sistemas de administración de recursos y configuración y registros de eventos.

Nuestras extensas inversiones en el análisis de seguridad crean perfiles de comportamiento enriquecidos y modelos predictivos que nos permiten "conectar los puntos" e identificar amenazas avanzadas que, de otro modo, podrían haber pasado desapercibidas; a continuación, podemos contrarrestar el ataque con una contención sólida y actividades de corrección coordinadas.

Microsoft también emplea software de seguridad desarrollado de forma personalizada, junto con herramientas de desarrollo del sector y el aprendizaje automático. Nuestra inteligencia sobre amenazas está evolucionando continuamente, y el enriquecimiento automatizado de datos nos permite detectar aún más rápido actividades malintencionadas e informar con una gran fidelidad. Los exámenes de vulnerabilidades se realizan periódicamente para probar y mejorar la eficacia de las medidas de protección. La amplitud de la inversión de Microsoft en su ecosistema de seguridad y la variedad de señales que supervisan los equipos de CDOC proporcionan una vista de amenazas más completa de la que pueden lograr la mayoría de los proveedores de servicios.

Las tácticas de detección de Microsoft incluyen:

  • La supervisión de entornos físicos y de red 24x7x365 para posibles eventos de ciberseguridad. La generación de perfiles de comportamiento se basan en patrones de uso y en la comprensión de amenazas únicas para nuestros servicios.

  • Los análisis de identidad y comportamiento se desarrollan para resaltar una actividad anómala.

  • Las herramientas y técnicas de software de aprendizaje automático se usan de forma rutinaria para detectar y marcar irregularidades.

  • Se implementan procesos y herramientas analíticas avanzadas para identificar aún más las actividades anómalas y las funcionalidades de correlación innovadoras. Esto permite crear detecciones muy contextualizadas a partir de enormes volúmenes de datos casi en tiempo real.

  • Los procesos automatizados basados en software que se auditan y evolucionan continuamente para aumentar la eficacia.

  • Los científicos de datos y los expertos en seguridad trabajan de forma rutinaria en paralelo para abordar eventos escalados que presentan características inusuales que requieren un análisis más exhaustivo de los objetivos. Gracias a esto, pueden determinar los posibles esfuerzos de respuesta y corrección.

RESPUESTA

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Respuesta

Cuando Microsoft detecta actividades anómalas en nuestros sistemas, se avisa a nuestros equipos de respuesta y estos se implican y responden rápidamente con una fuerza precisa. Las notificaciones de los sistemas de detección basados en software fluyen a través de nuestros sistemas de respuesta automatizados mediante algoritmos basados en riesgos para marcar eventos que requieren la intervención de nuestro equipo de respuesta. El tiempo medio de mitigación es fundamental y nuestro sistema de automatización proporciona a los respondedores información pertinente y útil que acelera la administración de las preguntas y respuestas, la mitigación y la recuperación.

Para administrar incidentes de seguridad a una escala tan masiva, implementamos un sistema de niveles para asignar eficazmente tareas de respuesta al recurso correcto y así facilitar una ruta de escalado racional.

Las tácticas de respuesta de Microsoft incluyen:

  • Sistemas de respuesta automatizados que usan algoritmos basados en riesgos para marcar los eventos que requieren intervención humana.

  • Sistemas de respuesta automatizados que usan algoritmos basados en riesgos para marcar los eventos que requieren intervención humana.

  • Procesos de respuesta a incidentes bien definidos, documentados y escalables dentro de un modelo de mejora continua, que nos ayudan a mantenernos por delante de los adversarios al ponerlos a disposición de todos los respondedores.

  • La experiencia en la materia de nuestros equipos, en varias áreas de seguridad, proporciona un conjunto diverso de habilidades para abordar estos incidentes. Experiencia en seguridad para la respuesta a incidentes, el análisis forense y el análisis de intrusiones, así como una comprensión detallada de las plataformas, los servicios y las aplicaciones que operan en nuestros centros de datos en la nube.

  • Amplias búsquedas empresariales en datos y sistemas en la nube (híbridos y locales), para determinar el alcance de un incidente.

  • Los especialistas realizan análisis forenses detallados de las amenazas principales para comprender los incidentes y ayudar a su contención y eliminación. • Las herramientas de software de seguridad de Microsoft, la automatización y la infraestructura en la nube a gran escala permiten a nuestros expertos en seguridad reducir el tiempo de detección, investigación, análisis, respuesta y recuperación ante ciberataques.

  • Las pruebas de penetración se emplean en todos los productos y servicios de Microsoft a través de ejercicios continuos de tipo "Equipo rojo o azul", para detectar vulnerabilidades antes de que un adversario real pueda aprovechar esos puntos débiles para un ataque.

Ciberdefensa para nuestros clientes

A menudo nos preguntan qué herramientas y procesos pueden adoptar nuestros clientes para su propio entorno y cómo podría ayudar Microsoft en su implementación. Microsoft ha consolidado en una gama de productos y servicios muchos de los productos y servicios de ciberdefensa que usamos en el CDOC. Los equipos de Microsoft Enterprise Cybersecurity Group y Microsoft Consulting Services interactúan con nuestros clientes para ofrecerles las soluciones más adecuadas para sus necesidades y requisitos específicos.

Uno de los primeros pasos que Microsoft recomienda encarecidamente es establecer una base de seguridad. Nuestros servicios fundamentales proporcionan defensas críticas contra ataques y servicios básicos de habilitación de identidad que permiten garantizar que los recursos estén protegidos. Esta base le permite acelerar el recorrido de transformación digital para conseguir una empresa moderna más segura.

A partir de esta base, los clientes pueden aprovechar las soluciones que se han probado correctamente con otros clientes de Microsoft e implementarlas en sus propios entornos de TI y servicios en la nube de Microsoft. Para obtener más información sobre nuestras herramientas de ciberseguridad empresarial, funcionalidades y ofertas del servicio, visite Microsoft.com/security y póngase en contacto con nuestros equipos en cyberservices@microsoft.com.

Procedimientos recomendados para proteger el entorno

Invierta en la plataforma Invierta en la instrumentación Invierta en su gente
La agilidad y escalabilidad requieren planeamiento y la creación de una plataforma de habilitación. Asegúrese de que mide exhaustivamente los elementos de la plataforma. Los analistas y científicos de datos cualificados son la base de su defensa, mientras que los usuarios son el nuevo perímetro de seguridad.
Mantenga un inventario bien documentado de los recursos. Adquiera o compile las herramientas necesarias para supervisar completamente la red, los hosts y los registros. Establezca relaciones y líneas de comunicación entre el equipo de respuesta ante incidentes y otros grupos.
Tenga una directiva de seguridad bien definida con estándares e instrucciones claros para su organización. Mantenga los controles y las medidas de forma proactiva, y pruébelos periódicamente para comprobar su precisión y eficacia. Adopte los principios de administrador con privilegios mínimos y elimine los derechos de administrador persistentes.
Mantenga una protección adecuada: la mayoría de los ataques se pueden evitar a tiempo con revisiones y antivirus. Mantenga un control estricto sobre las directivas de administración de cambios. Use el proceso de las lecciones aprendidas para obtener el valor de cada incidente importante.
Emplee la autenticación multifactor para reforzar la protección de las cuentas y los dispositivos. Supervise las actividades anómalas de las cuentas y credenciales para detectar abusos. Inscriba, entrene y capacite a los usuarios para que reconozcan las posibles amenazas y su propio rol en la protección de los datos de la empresa.