El Microsoft Safe Future Initiative (SFI) Se erige como el proyecto de ingeniería de ciberseguridad más grande de la historia y el esfuerzo más extenso de su tipo en Microsoft. Desde el inicio, hemos dedicado el equivalente a 34,000 ingenieros que trabajan a tiempo completo durante 11 meses para mitigar los riesgos y abordar las tareas de seguridad de mayor prioridad. Ahora estamos compartiendo el segundo Informe de progreso de SFIque destaca el progreso realizado en nuestro viaje de varios años para mejorar la postura de seguridad de Microsoft, nuestros clientes y la industria en basic.
Hemos progresado en toda la cultura y la gobernanza al fomentar una mentalidad de seguridad en cada empleado e invirtiendo en estructuras de gobernanza holística para abordar el riesgo de ciberseguridad en nuestra empresa.
Para proteger mejor a nuestros clientes, los equipos de ingeniería en toda la compañía están entregando innovación alineada con nuestros principios de seguridad, como el nuevo Safe by Design UX Toolkit que probamos con 20 equipos de productos, implementamos a 22,000 empleados y compartimos públicamente. Este conjunto de herramientas incorpora las mejores prácticas de seguridad en el desarrollo de productos y ya está entregando resultados. Incluye las mejores prácticas, tarjetas de conversación y herramientas de taller para ayudar a los equipos a desarrollar la capacidad de seguridad, identificar vulnerabilidades en los productos y priorizar dónde concentrarse.
También hemos avanzado en cada pilar y objetivo de ingeniería, endureciendo continuamente nuestra seguridad de identidad, reduciendo el riesgo de movimiento lateral a través de redes e inquilinos, mejorando nuestra capacidad de detectar y responder a los cibernéticos, y asociarse con la industria para proteger a los clientes de cero días. Las concepts y los aprendizajes de este progreso informan innovaciones continuas en nuestra cartera de seguridad de Microsoft: Microsoft Entra, Microsoft Defender y Microsoft Purview, que ayuda a proteger mejor a los clientes y Microsoft.
Para proteger mejor las claves de firma, en Septiembre de 2024 Anunciamos que hemos movido las claves de firma de token de acceso de la cuenta de Microsoft (MSA) de Microsoft (HSMS) y la seguridad basada en la virtualización en Home windows, con rotación automática. Desde entonces, hemos aplicado nuevas protecciones de defensa en profundidad en respuesta a nuestras investigaciones y evaluaciones del equipo rojo, migraron el servicio de firma de MSA a las máquinas virtuales confidenciales de Azure, y están migrando el servicio de firma de ID de Entra a la misma. Cada una de estas mejoras ayuda a mitigar los vectores de ataque que sospechamos que el actor usó en el ataque 2023 Storm-0558 contra Microsoft.
También hemos mejorado nuestra capacidad de detectar y responder a los cibernétricos, agregando más de 200 detecciones adicionales contra tácticas, técnicas y procedimientos (TTP) superiores, que se integrarán en el defensor de Microsoft cuando corresponda. Asociarse con la comunidad de investigación de seguridad descubrió proactivamente 180 vulnerabilidades En las áreas de alto impacto de la nube y la IA, y amplió nuestro programa para abordar las vulnerabilidades dentro de un tiempo reducido para mitigar para cubrir más productos, entornos y gravedades más bajas.
Los aspectos más destacados del informe de progreso SFI completo se pueden encontrar a continuación:
Seguro por diseño, predeterminado y en operaciones
En este informe, encontrará ejemplos de cómo estamos construyendo en protecciones desde el principio, alineados con nuestros principios de seguridad:
- Nuevo Safe by Design UX Toolkitprobado por 20 equipos de productos y implementados a 22,000 empleados, así como una versión disponible públicamente, está ayudando a los equipos a construir experiencias más seguras centradas en el usuario.
- El lanzamiento de 11 nuevas innovaciones en Microsoft Azure, Microsoft 365, Home windows y Microsoft Safety que ayudan a mejorar la seguridad por defecto.
- Los procesos de desarrollo de IA que ahora incluyen revisiones dedicadas de seguridad y seguridad dirigidas por la Organización Synthetic de Seguridad y Seguridad de Inteligencia Generativa.
- Aplicar prácticas de operaciones seguras en nuestros sistemas de IA, como se describe en nuestro Informe de transparencia de IA responsable.
- Nuevas políticas, modelos de detección basados en el comportamiento y métodos de investigación que frustraban $ 4 mil millones en intentos de fraude.
Estos avances ayudan a proteger a nuestros clientes y a Microsoft.
Mentalidad de seguridad primero, en toda la empresa
La seguridad comienza con la gente. En el último año, hemos activado una cultura de seguridad en todos los rincones de la compañía, desde ingeniería hasta operaciones y atención al cliente.
- Cada empleado de Microsoft ahora tiene una prioridad de seguridad de seguridad vinculada directamente a las revisiones de desempeño.
- 50,000 empleados han participado en la Academia de Seguridad de Microsoft para mejorar sus habilidades de seguridad.
- El 99% de los empleados han completado nuestras fundaciones de seguridad y cursos de código de confianza.
Este cambio no se trata de cumplimiento, se trata de empoderamiento. Queremos que cada persona de Microsoft comprenda su papel en mantener a nuestros clientes seguros y tener las herramientas para actuar sobre esa responsabilidad.
Gobernanza más fuerte para gestionar el riesgo de toda la empresa
En Mayo de 2024introdujimos una nueva estructura de gobernanza para mejorar la visibilidad y la responsabilidad del riesgo. Desde entonces, hemos profundizado nuestra inversión:
- Hemos designado un Oficial de Seguridad de la Información Subdirector (CISO) para aplicaciones comerciales, y consolidado la responsabilidad de Microsoft 365 y experiencias y dispositivos.
- Los 14 CISO adjuntos en Microsoft han completado un inventario y priorización de riesgos, creando una visión compartida del riesgo de seguridad en toda la empresa.
Este tipo de estructura es basic para la escala, asegurando que la seguridad no solo esté centralizada, sino que se incruste en toda la organización.
Conducir un progreso medible en todos los pilares
Continuamos progresando en cada pilar y objetivo. De los 28 objetivos, cinco están a punto de completar, 11 han progresado significativamente y seguimos progresando contra el resto. Como resultado de SFI, nuestras plataformas y servicios son más seguros y hemos mejorado nuestra capacidad de detectar y responder a los cibercíbulas.
1. Proteja las identidades y secretos: hemos mejorado la seguridad de la identidad para los servicios y clientes de Microsoft
- Nuevas protecciones de defensa en profundidad para Microsoft Entra ID y Microsoft Cuenta (MSA) claves de firma de token ya almacenadas en módulos de seguridad basados en {hardware}. El servicio de firma de la cuenta de Microsoft (MSA) se ha migrado a las máquinas virtuales confidenciales de Azure.
- El 90% de los tokens de identidad de Microsoft Entra ID para aplicaciones de Microsoft son validados por un Equipment de desarrollo de software program de identidad (SDK) consistente y endurecido.
- Para mitigar el riesgo de ciberataques avanzados, el 92% de las cuentas de productividad de los empleados ahora utilizan la autenticación multifactorial (MFA) resistente a phishing.
2. Proteja los inquilinos y los sistemas de producción de aislamiento: continuamos eliminando los recursos heredados y no utilizados, y aumentamos el aislamiento, para reducir el riesgo de movimiento lateral
- Hacemos la transición de más del 88% de los recursos a Azure Useful resource Supervisor, eliminamos un complete de 6.3 millones de inquilinos (550,000 adicionales desde septiembre), y todos los nuevos inquilinos ahora están registrados automáticamente en nuestro sistema de respuesta de emergencia de seguridad.
- Utilizamos una solución de gestión de ciclo de vida automatizado para todas las aplicaciones de ID de Microsoft Entra en el entorno de producción.
- La autenticación a 4.4 millones de identidades administradas por el entorno de producción ahora se limita a ubicaciones de crimson específicas, protegiendo aún más estos activos críticos.
3. Proteger las redes: el progreso realizado contra todos los objetivos ha mejorado la seguridad de nuestra crimson y ha entregado nuevas innovaciones para ayudar a los clientes a proteger sus redes
- Más del 99% de los activos de la crimson han sido inventado y utilizan estándares de seguridad mejorados.
- Continuamos agregando capas adicionales de defensa en profundidad aplicando el aislamiento de la crimson y la segmentación a nuestra crimson.
- Introdujimos cuatro nuevas capacidades de seguridad para ayudar a los clientes a asegurar sus redes: perímetro de seguridad de crimson (NSP), DNS Safety Extensions (DNSSEC), Azure Bastion Premium y una función de subred privada.
4. Proteger los sistemas de ingeniería: hemos mejorado la seguridad de los sistemas que utilizamos para construir, probar e implementar código
- El 99.2% de las tuberías tienen un inventario completo, que se aplica en la creación y se valida dentro de las 24 horas.
- MFA protege el 81% de las ramas del código de producción a través de controles de prueba de presencia.
- Una amplia adopción de servicios de alimentación central, que ayuda a proporcionar a los desarrolladores una alimentación de código abierto gobernado.
5. Monitorear y detectar amenazas: para mejorar nuestra capacidad de investigar y responder a los cibercíbulas
- Hacemos un seguimiento del 97% de nuestros activos de infraestructura de producción centralmente.
- Los equipos de ingeniería continúan adoptando nuestro estándar de registro de seguridad, incluida la política mínima de retención de dos años.
- Agregamos más de 200 detecciones adicionales contra tácticas, técnicas y procedimientos principales (TTP). Las detecciones aplicables se integrarán en Microsoft Defender.
6. Acelerar la respuesta y la remediación: estamos abordando más vulnerabilidades, más rápidamente, y continuamos mejorando las comunicaciones de los clientes relacionadas con la seguridad.
- 73% de tasa de éxito que aborda las vulnerabilidades de la nube en nuestro tiempo reducido para mitigar, con un alcance de programa significativamente ampliado.
- Como parte de Zero Day Quest, los investigadores identificaron 180 nuevas vulnerabilidades en las áreas de alto impacto de la nube y la IA, lo que nos permite abordarlas de manera proactiva.
- Introducimos nuevos procesos y libros de jugadas para mejorar las comunicaciones de incidentes de seguridad a los clientes.
Un futuro de innovación segura
El progreso en la ciberseguridad nunca es lineal. Cyberthreats evolucionan. Tecnología cambia. Surgen nuevos riesgos. Pero cada paso que damos para asegurar nuestras plataformas es una inversión en un futuro más seguro, para Microsoft, nuestros clientes y todo el ecosistema.
SFI es cómo estamos aumentando a ese desafío. Estamos aplicando cero principios de confianza, conduciendo la seguridad del núcleo de ingeniería y compartiendo lo que aprendemos. Hay más trabajo por delante y estamos comprometidos con el viaje.
También sabemos que la seguridad es un deporte de equipo. Se necesita colaboración entre clientes, socios y la industria en basic para avanzar juntos. Como parte de nuestro compromiso con el ecosistema más amplio, estamos orgullosos de continuar apoyando iniciativas como el CISA Safe by Design.reforzando nuestra creencia de que la seguridad es la base de la confianza.
Gracias por su confianza y su asociación. Sigamos construyendo un futuro seguro juntos.
Obtenga más información con Microsoft Safety
Para obtener más información sobre Microsoft Safety Options y Microsoft’s Iniciativa segura futuravisite nuestro sitio internet.Marcar elWeblog de seguridadPara mantenerse al día con nuestra cobertura experta sobre asuntos de seguridad. Además, síganos en LinkedIn (Seguridad de Microsoft) y x (@Msftsecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.
