El programa estratégico de protección tecnológica de Microsoft
STPP (Strategic Technology Protection Program)
Se sabe que la seguridad en sistemas de información es un capítulo de constante actualidad hoy en día, lo que no es en absoluto una buena noticia para ninguna empresa, que siente como sus sistemas podrían estar expuestos a riesgos similares a los presentados con frecuencia tanto en los medios de comunicación generales como en los especializados.
La continua aparición de vulnerabilidades en los sistemas, noticias de accesos no deseados e incluso vulnerabilidades manifiestas en software ampliamente extendido y crítico para el funcionamiento de Internet (servidores de DNS, servidores de web), virus informáticos etc., hacen de la seguridad un área de especial foco para el correcto desarrollo de los negocios en esta era digital. Mas allá del acceso a la información y servicios de un usuario final, la integración de Internet en los procesos de negocio de una compañía necesita más que nunca de un grado de fiabilidad y confianza en el medio. Sólo cuando ese grado de confianza se alcanza y se mantiene, podrá disminuirse ese gran inhibidor de desarrollo digital que es la sensación de inseguridad.
Paradójicamente, el origen primario y la solución última de estos problemas se encuentra en los propios fabricantes de software, hardware, ISV, etc., desde un punto de vista estrictamente tecnológico. Los productos desarrollados por los fabricantes, expuestos a usos no previstos, pueden presentar una respuesta no deseada, que se explotará como vulnerabilidad hasta que el fabricante no corrija el código que lo originó.
Si el origen está en la propia industria de TI en su conjunto, la solución última también pasa por la responsabilidad de los fabricantes de software, hardware e ISVs en detectar y corregir las vulnerabilidades de su código en un corto periodo de tiempo, idealmente menor que el tiempo de un hacker en explotar y difundir la vulnerabilidad por cualquier medio.
La estrategia de Microsoft
Dentro de la estrategia global de Microsoft para la empresa (.Net), la seguridad juega un papel crítico en todos y cada uno de sus componentes. La inversión de Microsoft en seguridad ha ido, en consecuencia, cubriendo los distintos frentes tecnológicos para mantener la confianza de los clientes que utilizan su tecnología como soporte de sus negocios.
La inclusión de tecnologías de PKI, Kerberos, IPSec, EFS, Directorio Activo en la base del sistema operativo Windows 2000, o la aparición de nuevos productos destinados a la protección perimetral de redes como Microsoft ISA Server, o destinados a maximizar la disponibilidad de las aplicaciones y sistemas como Microsoft Application Center, o programas como Microsoft Data Center (con estrictos contratos de SLA), etcétera, muestran parte de esa inversión tecnológica.
El enorme esfuerzo de Microsoft en materia de seguridad se ha venido centrando en la celeridad con la que la compañía pone a disposición de sus clientes el update correspondiente a la vulnerabilidad detectada. Hablamos del Microsoft Security Response Team, probablemente el mejor equipo de la industria del software para dar respuesta a incidencias de seguridad que afecten a nuestros productos.
El programa STPP
En este marco es donde surge el programa STPP que representa una movilización sin precedentes de recursos y medios de Microsoft para ayudar a sus clientes a proteger sus entornos de computación, independientemente de su tamaño, y mantenerlos seguros.El programa persigue un doble objetivo: asegurar que los clientes actualizan correctamente sus sistemas desde el punto de vista de la instalación de updates de seguridad (Get Secure) y configuración correcta, para posteriormente ayudarles a mantener sus sistemas perfectamente actualizados (Stay Secure):
Get Secure comprende un teléfono de asistencia gratuita (902 197198) para resolución de incidencias originadas por virus y asesoría sobre la instalación de updates de seguridad, así como una oferta de servicios para revisiones de seguridad de plataforma Microsoft y el MS Security Toolkit, un CD gratuito con herramientas muy útiles para actualizar los sistemas y configurarlos en modo más seguro, que se completa con un rollup bimensual de actualizaciones de seguridad.
Sin duda, Stay Secure es la parte más importante, estratégica y diferenciadora del programa. Si ya se ha conseguido un nivel aceptable de seguridad (en los términos que se han definido) mediante la aplicación de Get Secure, procede ahora mantener este nivel en el tiempo. Microsoft está trabajando en diferentes líneas entre las que destaca el programa Windows Update Corporate Edition Program por el cual el sistema aprovecha los tiempos de desuso de una conexión a Internet para en modo background bajar una actualización de seguridad (debidamente firmada por Microsoft) de la que carezca el sistema, para posteriormente ofrecer la opción de instalación. La experiencia del usuario de esta tecnología es tremendamente positiva porque sin ningún tipo de esfuerzo por su parte ni disminución del rendimiento, mantiene perfectamente actualizado su sistema y por tanto, invulnerable a exploits de vulnerabilidades de sistemas bajo cualquiera de sus aspectos (virus, gusanos, ataques etc..)
¿Qué más se necesita para que esto funcione en un entorno corporativo? Algo fundamental: un servidor corporativo interno, sincronizado directamente con Microsoft y que reciba los updates de seguridad para que tan pronto como Microsoft publique una actualización de seguridad, en horas pueda tenerse disponible en el servidor interno. Es decir, no se tendrá que habilitar la conexión directa de los servidores a Internet para llegar a los Windows Update Server de Microsoft. Un solo servidor recibirá la información y la distribuirá internamente entre los restantes servidores y clientes.
Vulnerabilidad
Un sistema permanece vulnerable durante el periodo transcurrido desde el descubrimiento de la vulnerabilidad por parte del fabricante, un IDS o terceros, hasta que el cliente tiene el update correctamente instalado en su sistema. Ahí termina el ciclo. No antes. Sin embargo todos los fabricantes detienen el ciclo en un paso anterior: en el momento de la publicación en la web de la alerta y el update correspondiente. Desde ese momento, depende de la eficiencia de la política de seguridad del usuario (de existir) el completar el ciclo, instalando ese update de forma efectiva. Microsoft quiere completar el ciclo llegando hasta el usuario final. Es bien conocido que en un 99% de los casos, el descubridor de una vulnerabilidad no es la misma persona que explota o hackea un sistema. Lo habitual es que el hacker aproveche ese descubrimiento de terceros para crear el exploit o ataque, con el fin de o utilizarlo directamente o expandirlo por la red. De hecho, los exploits se difunden en ocasiones incluso meses después de la aparición de la vulnerabilidad y el update del fabricante.
El programa STPP, reduce de tal manera el tiempo transcurrido entre el descubrimiento de la vulnerabilidad y la actualización efectiva del sistema del cliente, que dejará un margen de vulnerabilidad tecnológica en los sistemas muy bajo.
Héctor Sánchez Montenegro
Supervisor Ingeniería de Preventa
División de Grandes Organizaciones Microsoft
La continua aparición de vulnerabilidades en los sistemas, noticias de accesos no deseados e incluso vulnerabilidades manifiestas en software ampliamente extendido y crítico para el funcionamiento de Internet (servidores de DNS, servidores de web), virus informáticos etc., hacen de la seguridad un área de especial foco para el correcto desarrollo de los negocios en esta era digital. Mas allá del acceso a la información y servicios de un usuario final, la integración de Internet en los procesos de negocio de una compañía necesita más que nunca de un grado de fiabilidad y confianza en el medio. Sólo cuando ese grado de confianza se alcanza y se mantiene, podrá disminuirse ese gran inhibidor de desarrollo digital que es la sensación de inseguridad.
Paradójicamente, el origen primario y la solución última de estos problemas se encuentra en los propios fabricantes de software, hardware, ISV, etc., desde un punto de vista estrictamente tecnológico. Los productos desarrollados por los fabricantes, expuestos a usos no previstos, pueden presentar una respuesta no deseada, que se explotará como vulnerabilidad hasta que el fabricante no corrija el código que lo originó.
Si el origen está en la propia industria de TI en su conjunto, la solución última también pasa por la responsabilidad de los fabricantes de software, hardware e ISVs en detectar y corregir las vulnerabilidades de su código en un corto periodo de tiempo, idealmente menor que el tiempo de un hacker en explotar y difundir la vulnerabilidad por cualquier medio.
La estrategia de Microsoft
Dentro de la estrategia global de Microsoft para la empresa (.Net), la seguridad juega un papel crítico en todos y cada uno de sus componentes. La inversión de Microsoft en seguridad ha ido, en consecuencia, cubriendo los distintos frentes tecnológicos para mantener la confianza de los clientes que utilizan su tecnología como soporte de sus negocios.
La inclusión de tecnologías de PKI, Kerberos, IPSec, EFS, Directorio Activo en la base del sistema operativo Windows 2000, o la aparición de nuevos productos destinados a la protección perimetral de redes como Microsoft ISA Server, o destinados a maximizar la disponibilidad de las aplicaciones y sistemas como Microsoft Application Center, o programas como Microsoft Data Center (con estrictos contratos de SLA), etcétera, muestran parte de esa inversión tecnológica.
El enorme esfuerzo de Microsoft en materia de seguridad se ha venido centrando en la celeridad con la que la compañía pone a disposición de sus clientes el update correspondiente a la vulnerabilidad detectada. Hablamos del Microsoft Security Response Team, probablemente el mejor equipo de la industria del software para dar respuesta a incidencias de seguridad que afecten a nuestros productos.
El programa STPP
En este marco es donde surge el programa STPP que representa una movilización sin precedentes de recursos y medios de Microsoft para ayudar a sus clientes a proteger sus entornos de computación, independientemente de su tamaño, y mantenerlos seguros.El programa persigue un doble objetivo: asegurar que los clientes actualizan correctamente sus sistemas desde el punto de vista de la instalación de updates de seguridad (Get Secure) y configuración correcta, para posteriormente ayudarles a mantener sus sistemas perfectamente actualizados (Stay Secure):
Get Secure comprende un teléfono de asistencia gratuita (902 197198) para resolución de incidencias originadas por virus y asesoría sobre la instalación de updates de seguridad, así como una oferta de servicios para revisiones de seguridad de plataforma Microsoft y el MS Security Toolkit, un CD gratuito con herramientas muy útiles para actualizar los sistemas y configurarlos en modo más seguro, que se completa con un rollup bimensual de actualizaciones de seguridad.
Sin duda, Stay Secure es la parte más importante, estratégica y diferenciadora del programa. Si ya se ha conseguido un nivel aceptable de seguridad (en los términos que se han definido) mediante la aplicación de Get Secure, procede ahora mantener este nivel en el tiempo. Microsoft está trabajando en diferentes líneas entre las que destaca el programa Windows Update Corporate Edition Program por el cual el sistema aprovecha los tiempos de desuso de una conexión a Internet para en modo background bajar una actualización de seguridad (debidamente firmada por Microsoft) de la que carezca el sistema, para posteriormente ofrecer la opción de instalación. La experiencia del usuario de esta tecnología es tremendamente positiva porque sin ningún tipo de esfuerzo por su parte ni disminución del rendimiento, mantiene perfectamente actualizado su sistema y por tanto, invulnerable a exploits de vulnerabilidades de sistemas bajo cualquiera de sus aspectos (virus, gusanos, ataques etc..)
¿Qué más se necesita para que esto funcione en un entorno corporativo? Algo fundamental: un servidor corporativo interno, sincronizado directamente con Microsoft y que reciba los updates de seguridad para que tan pronto como Microsoft publique una actualización de seguridad, en horas pueda tenerse disponible en el servidor interno. Es decir, no se tendrá que habilitar la conexión directa de los servidores a Internet para llegar a los Windows Update Server de Microsoft. Un solo servidor recibirá la información y la distribuirá internamente entre los restantes servidores y clientes.
Vulnerabilidad
Un sistema permanece vulnerable durante el periodo transcurrido desde el descubrimiento de la vulnerabilidad por parte del fabricante, un IDS o terceros, hasta que el cliente tiene el update correctamente instalado en su sistema. Ahí termina el ciclo. No antes. Sin embargo todos los fabricantes detienen el ciclo en un paso anterior: en el momento de la publicación en la web de la alerta y el update correspondiente. Desde ese momento, depende de la eficiencia de la política de seguridad del usuario (de existir) el completar el ciclo, instalando ese update de forma efectiva. Microsoft quiere completar el ciclo llegando hasta el usuario final. Es bien conocido que en un 99% de los casos, el descubridor de una vulnerabilidad no es la misma persona que explota o hackea un sistema. Lo habitual es que el hacker aproveche ese descubrimiento de terceros para crear el exploit o ataque, con el fin de o utilizarlo directamente o expandirlo por la red. De hecho, los exploits se difunden en ocasiones incluso meses después de la aparición de la vulnerabilidad y el update del fabricante.
El programa STPP, reduce de tal manera el tiempo transcurrido entre el descubrimiento de la vulnerabilidad y la actualización efectiva del sistema del cliente, que dejará un margen de vulnerabilidad tecnológica en los sistemas muy bajo.
Héctor Sánchez Montenegro
Supervisor Ingeniería de Preventa
División de Grandes Organizaciones Microsoft
