Más evidencia de que Microsoft debe dejar la seguridad a los expertos

08:03 13/09/2021 | 2 Lượt xem

Dos semanas agitadas para Microsoft, y no en el buen sentido. Tras la noticia de que ha dejado un error de configuración Datos de clientes de la nube de Azure expuestos para un posible compromiso y una alerta de seguridad de Microsoft sobre un exploit activo que tiene como objetivo un vulnerabilidad de día cero en MSHTML, ahora están ahí informes de una vulnerabilidad de seguridad crítica que también puede permitir a los atacantes poner en peligro contenedores en Azure.

no comparte bien con los demás

La seguridad en la nube se basa en un modelo de responsabilidad compartida. Básicamente, los clientes son responsables de proteger y asegurar todo lo que ejecutan o almacenan en el entorno de la nube, pero el proveedor de la nube es responsable de proteger y asegurar la infraestructura y los servicios que brindan. Microsoft no está cumpliendo con su parte del acuerdo en este caso.

Investigadores descubrió un problema con la oferta de Microsoft de contenedores como servicio, Azure Container Instances (ACI). La infraestructura de alojamiento ACI se basa en clústeres de Kubernetes, que pueden verse comprometidos para permitir que un atacante obtenga el control total sobre otros contenedores.

Azurescape– el nombre dado a la vulnerabilidad por los investigadores – podría permitir a un atacante malintencionado ejecutar código en los contenedores de otros usuarios o interceptar y robar datos confidenciales. La falla también se puede utilizar para aprovechar la infraestructura ACI para secuestrar los contenedores de otros usuarios para el cifrado.

Microsoft ha lanzado un parche para resolver el problema con ACI. Aún se recomienda que los clientes revoquen todas las credenciales privilegiadas implementadas antes del 31 de agosto y revisen los registros de acceso para detectar actividades sospechosas.

Peligros del monocultivo

Uno de los mayores problemas con Microsoft que ofrece software vulnerable y las soluciones de seguridad para protegerlo es que los datos y la información sobre posibles hacks o ataques volverán a ellos, y tendrían pocos incentivos para compartir la información.

Microsoft ha recorrido este camino antes y sabe que este tipo de monocultivo no termina bien. Microsoft llegó tarde a la fiesta de los navegadores y abusó de su dominio del mercado para reclamar un monopolio virtual del mercado de los navegadores. Se necesitaron muchos años y un proceso antimonopolio para destronarlos y para que surgiera nuevamente una competencia real.

Avance rápido alrededor de una década y resulta que los navegadores de la competencia eran mucho mejores que Microsoft eliminó el navegador Internet Explorer y reconstruyó su navegador Microsoft Edge utilizando el motor central de su principal competidor.

No es gran cosa si la experiencia de su navegador no es óptima, pero podría ser catastrófico si permitimos que suceda el mismo escenario con la ciberseguridad.

Venta de ventanas rotas

Este es solo el último de una larga serie de eventos que enfatizan por qué no debe confiar en Microsoft para la seguridad. El economista francés Frédéric Bastiat argumentó en el parábola de la ventana rota, lo que equivale a un robo para alguien que se dedica simultáneamente a romper y reparar ventanas. Eso es esencialmente lo que está haciendo Microsoft. Están vendiendo “ventanas rotas” y cobrando por las reparaciones, además de ofrecer vender herramientas de seguridad para mitigar el riesgo que introdujeron.

Si busca en Google los términos “Microsoft” y “vulnerabilidad”, encontrará muchos términos críticos diferentes de los últimos meses. Al mismo tiempo, Microsoft continúa cambiando de marcha para impulsar su pila de seguridad de manera más agresiva contra jugadores EDR y XDR bien establecidos como Cybereason y CrowdStrike.

Es casi poco ético. Microsoft aprovecha su posición dominante en el mercado y distribuye sus productos de seguridad principalmente de forma gratuita. Microsoft está invirtiendo tiempo y recursos para ganar una mayor participación en el mercado de la seguridad, pero ofrece un producto inferior con un gran descuento. Se trata principalmente de la dependencia del cliente. Como dice el refrán, “Si no estás pagando por el producto, eres el producto”.

Deje que los expertos se encarguen de la seguridad

No tenemos sistemas operativos de formación de equipos, ni plataformas en la nube ni servidores de correo electrónico. Contamos con equipos dedicados a velar por la seguridad de nuestros clientes. Vivimos cada incidencia con nuestros clientes. Nuestros clientes confían en nosotros, sabiendo que nuestro único objetivo es invertir plenamente en ellos y en su seguridad.

Microsoft debe concentrarse en desarrollar un código más seguro y encontrar y corregir de manera proactiva las vulnerabilidades en sus propios productos y plataformas.

Deje la ciberseguridad a los expertos. Somos los mejores porque tenemos que serlo. Porque se lo debemos a nuestros clientes. Porque estamos enfocados en la seguridad.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang