Microsoft concluye la investigación de SolarWinds, empuja a las empresas hacia la confianza cero

En esta, reafirmaron que los atacantes robaron parte del código fuente, pero indicaron que no hay evidencia de que hayan abusado de sus sistemas internos para atacar a otras empresas o que hayan obtenido acceso a servicios de producción o datos de clientes.

La divulgación se basa en una actualización anterior del 31 de diciembre de 2020, que descubrió un compromiso de su propia red para ver el código fuente relacionado con sus productos y servicios.

«Detectamos actividad inusual con una pequeña cantidad de cuentas internas y, tras la revisión, descubrimos que se había utilizado una cuenta para ver el código fuente en varios repositorios de código fuente», había revelado previamente el fabricante de Windows.

Ahora, según la compañía, además de ver pocos archivos individuales buscando en los repositorios, algunos casos involucraron la descarga de código fuente de componentes relacionados con:

  • Un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad).
  • Un pequeño subconjunto de componentes de Intune.
  • Un pequeño subconjunto de componentes de Exchange.

«Los términos de búsqueda utilizados por el actor indican el enfoque esperado en el intento de encontrar secretos», dijo la compañía, y agregó que una verificación posterior afirmó el hecho de que no contenían credenciales de producción en vivo.

Al calificar el ataque de la cadena de suministro de SolarWinds como un » momento de ajuste de cuentas «, Microsoft recomendó en enero a las organizaciones adoptar una «mentalidad de confianza cero» para lograr el acceso con menos privilegios y minimizar los riesgos al permitir la autenticación de múltiples factores.

La compañía dijo que los ataques han reforzado la necesidad de adoptar la mentalidad Zero Trust y proteger las credenciales privilegiadas.

Aplicación de Zero Trust

Zero Trust en términos prácticos es una transición de la confianza implícita, asumiendo que todo dentro de una red corporativa es seguro, al modelo que asume una violación y verifica explícitamente el estado de seguridad de la identidad, el punto final, la red y otros recursos basado en todas las señales disponibles y datos. Se basa en la aplicación de políticas contextuales en tiempo real para lograr el acceso con menos privilegios y minimizar los riesgos. La automatización y el aprendizaje automático se utilizan para permitir una detección, prevención y corrección rápidas de ataques mediante análisis de comportamiento y grandes conjuntos de datos.

Política de confianza cero