Con la extensión del mundo cloud y la generalización del teletrabajo, la superficie vulnerable a ataques se ha ampliado al tiempo que las amenazas crecen en sofisticación y virulencia. Para este año, la consultora Gartner prevé que un tercio de los ataques exitosos que sufran las empresas se habrán producido a través de su shadow IT, esto es, software o hardware que se utiliza en la organización pero que no se ha sometido ni a la aprobación ni al control del departamento de TI. Supone, pues, un auténtico reto para los CISO, que, en la tradicional ecuación de equilibrio entre seguridad y rendimiento, ahora han de incluir otros factores, como la colaboración y la innovación en un marco de democratización de la información.

Se impone una visión holística de la seguridad para garantizar la protección de sistemas, datos y aplicaciones

Así, a las medidas preventivas que se adoptan en las organizaciones ahora es preciso añadirles otras de detección y respuesta, en una constante evaluación de los riesgos; todo ello en un contexto de continua expansión de usuarios, dispositivos, aplicaciones, datos e infraestructura, ya sea on-premise o cloud.

Visibilidad total

Ante la sofisticación de los ataques, las organizaciones han ido adoptando multitud de herramientas que, debido a su falta de integración, se convierten en un riesgo añadido para el CISO, que carece de una panorámica general de ellas. De media, las grandes compañías tienen cerca de 75 productos diferentes de seguridad, lo que se traduce en que algunos ataques puedan llegar a pasar desapercibidos durante 140 días.

Microsoft busca revertir esta situación proporcionando a las compañías una panorámica exhaustiva del estado de su seguridad, independientemente del entorno. Para ello, la multinacional anunció en 2021 una inversión de 20.000 millones de dólares para los próximos cinco años, destinados a fortalecer aún más la integración de la ciberseguridad en el diseño de sus productos.

Microsoft proporciona una panorámica exhaustiva del estado de la seguridad, independientemente del entorno

Los resultados avalan este compromiso, pues, con sus más de 8500 especialistas en seguridad, Microsoft analizó el año pasado 24 trillones de señales diarias, bloqueó 24 billones de amenazas de correo y 31 billones de intentos de suplantación de identidad a lo largo de las plataformas, herramientas, servicios y dispositivos de sus clientes.

Equipos como los de su Digital Crimes Unit (DCU) y el Microsoft Threat Intelligence Center (MSTIC) para el seguimiento de ataques avanzados, el Detection and Response Team (DART), especializado en respuesta a incidentes, o su Microsoft Cyber Defense Operation Center (CDOC), gozan de enorme prestigio internacional. Solo en el CDOC se analizan más de 24 billones de señales diarias en todo el mundo. En total, la seguridad inteligente de Microsoft ha escaneado 400 000 millones de correos electrónicos para desbaratar ataques de phishing y malware, procesa 450 000 millones de autenticaciones al mes, actualiza 1000 millones de dispositivos Windows y escanea, al mes, más de 18 000 millones de páginas en Bing.

De la combinación de todos estos equipos de profesionales, datos de seguridad y tecnología de inteligencia artificial (IA) nace Microsoft Intelligent Security Graph, un repositorio de inteligencia de seguridad que, gracias al aprendizaje automático, enriquece y fortalece de manera efectiva la protección; y lo hace de un modo tanto reactivo como proactivo, gracias a sus sistemas de alerta temprana.

Ampliar la cobertura de riesgos

El enfoque de seguridad holístico de Microsoft se basa en el concepto zero trust para la identificación y protección, que blinda el control de acceso a la nube y a los activos digitales. El objetivo de este enfoque comprende detectar y responder a las amenazas desde el SOC (security operations center), integrar la seguridad en los procesos de desarrollo de aplicaciones —incluido DevOps—, así como extender todas estas prestaciones a los dispositivos IoT.

El modelo de seguridad zero trust rompe la barrera del perímetro, ya que asume que los atacantes pueden encontrarse en el mismo entorno empresarial; por ello, se intensifican las tareas de verificación explícita y se aplican accesos con privilegios mínimos. Zero trust se ha convertido en la piedra angular para gestionar los riesgos, pues cubre desde la identidad inicial hasta la red, los datos, la aplicación y la infraestructura.

Zero trust es la piedra angular, pues cubre desde la identidad inicial hasta la red, los datos, la aplicación y la infraestructura

Esta evaluación de los riesgos es continua, porque concibe la monitorización y generación de informes de riesgos como algo crítico, allanando así el camino a una respuesta automática e inmediata a las amenazas. El objetivo es alcanzar tal granularidad que las organizaciones disfruten de gran visibilidad en todos los niveles de riesgo.

Automatización de las respuestas

Como complemento del modelo zero trust, Microsoft también incorpora la Plataforma XDR (extended detection and response) para cubrir el ámbito de la detección, respuesta y recuperación. En esencia, se trata de una herramienta SaaS que ahonda en la visión holística integrando productos y datos de seguridad en soluciones simplificadas.

La Plataforma XDR va un paso más allá de los sistemas EDR (endpoint detection and response), pues no solo integra la protección en los puntos finales, sino que lo hace en una gama más amplia de productos, incluidos servidores, aplicaciones en la nube, correos electrónicos, etc. Esta plataforma integra de forma nativa controles de seguridad para los sistemas y colaboración en Microsoft 365 y la nube de Azure (para IaaS, PaaS y SaaS), de modo que extiende su cobertura a múltiples plataformas, y con un enfoque multicloud.

XDR se apoya en IA y machine learning (ML) para monitorizar comportamientos amenazantes y responder automáticamente a ellos

Además de identificar, evaluar y solucionar automáticamente amenazas conocidas en tiempo real, reparando los activos afectados de un modo desatendido e identificando a los usuarios afectados, XDR se apoya en inteligencia artificial y machine learning (ML) para, por una parte, monitorizar comportamientos amenazantes (contrastándolos con los perfiles que crea de comportamientos sospechosos), y, por otra, responder automáticamente a los ataques y mitigarlos.

La importancia de la colaboración

Por otro lado, comprometido con su papel de proveedor integral de seguridad, Microsoft no descuida el cumplimiento normativo, que aplica a todos sus productos y servicios, ya sea en el datacenter o en la nube. De hecho, fue el primero de los grandes proveedores de soluciones cloud que obtuvo el certificado de conformidad ENS con Categoría Alta. El RGPD de la Unión Europea, la norma ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2 son solo algunos de los estándares que cumple, entre los que cabe destacar la certificación de conformidad con el Nivel Alto del Esquema Nacional de Seguridad (ENS) en España.

Con todos estos elementos, Microsoft se ha convertido en un referente en el ámbito de la seguridad, como lo demuestra la desarticulación de la red cibercriminal ZLoader, especializada en ransomware. Sin embargo, cuando más de relieve se ha puesto esta vocación ha sido con el estallido de la guerra de Ucrania, donde la compañía ha sido crucial a la hora de detener los ataques del grupo Strontium contra medios de comunicación de aquel país.