Por MSRC Team

Hoy, Microsoft se complace en anunciar el preestreno privado de Microsoft Interflow, una plataforma de intercambio de información de seguridad y amenazas para los analistas e investigadores que trabajan en la seguridad cibernética. Interflow utiliza las especificaciones de la industria para crear una entrada automática de información de seguridad y amenazas,  legible por máquina, que se puede compartir a través de industrias y grupos en tiempo casi real. El objetivo de la plataforma es ayudar a los profesionales de seguridad a responder más rápidamente a las amenazas. También ayudará a reducir el costo de defensa mediante la automatización de procesos que actualmente se llevan a cabo de forma manual.

La colaboración activa continua de Microsoft con la comunidad de seguridad cibernética ha sido una fuente constante de ideas e innovación desde hace más de una década. El programa Microsoft Active Protections Program (MAPP) se estableció en 2008 para proporcionar a los proveedores de software de seguridad acceso temprano a la información sobre vulnerabilidades de software. En la misma línea, la inspiración para Interflow proviene de la comunidad. Hoy en día, las dificultades de intercambio de datos, tales como los desajustes de formato, los problemas de regulación, y la complejidad de la correlación de datos, se interponen en el camino de una industria que desea responder a los incidentes de manera más eficiente. Zheng Bu, Vicepresidente de Investigación de Seguridad en FireEye, declaró que "la comunidad cibernética se beneficiará de una manera más productiva para colaborar y tomar medidas. Es alentador ver a Microsoft invertir en una plataforma de este tipo, e impulsarlo hacia adelante para un mayor beneficio de la comunidad".

Un ecosistema de seguridad cibernética colectiva más fuerte significa una mejor protección para los consumidores y las empresas. Hay muchos ejemplos de alianzas a través de las industrias, tales como las establecidas en los sectores de la educación y las finanzas. Recientemente se formó una alianza de seguridad cibernética (cybersecurity alliance) similar en la industria de minoristas. Dado que los minoristas y otros comparten indicadores de amenazas y toman medidas rápidamente, los ciberataques se evitan, o su daño y propagación se reducen al mínimo. Interflow permite precisamente este tipo de intercambio basado en colegas y la comunidad, ya sea que las comunidades estén formadas por los Equipos de Respuesta a Emergencias Informáticas (CERT) en todo el mundo o por industria.

Uno se puede preguntar qué es exactamente lo que significa compartir información de seguridad y amenazas utilizando Interflow. La respuesta es simple: Interflow es un sistema distribuido donde los usuarios deciden qué comunidades formar, qué fuentes de datos llevan a sus comunidades, y con quien comparten las fuentes de datos. Además, el uso de especificaciones abiertas STIX™ (Structured Threat Information eXpression), TAXII™ (Trusted Automated eXchange of Indicator Information), y CybOX™ (Cyber Observable eXpression standards) significa que Interflow se puede integrar con herramientas operativas y analíticas existentes a través de una arquitectura de plug-in. Esto significa que no hay apego a los formatos de datos, aparatos o suscripciones propietarios, los cuales elevan el costo de la seguridad cibernética.

Para muchos que operan en la comunidad de respuesta, es muy importante reducir y administrar el costo de defensa frente al aumento exponencial de datos de amenazas. Al ejecutarse en la nube pública de Microsoft Azure, Interflow ayuda a reducir el costo de la infraestructura de seguridad al tiempo que permite escalar rápidamente, una premisa fundamental de la computación en la nube. Debido a que Interflow automatiza la entrada y el flujo de la seguridad y los datos de amenazas, las organizaciones son capaces de priorizar el análisis y la acción a través de listas de vigilancia personalizadas, en lugar de asumir el costo de recopilación manual de datos.

Como primeros usuarios de Interflow, diversos equipos de seguridad de red de Microsoft han experimentado este tipo de beneficios. Microsoft tiene la intención de compartir los datos de seguridad y amenazas que se utilizan para proteger a nuestros propios productos y servicios con las comunidades de Interflow durante el preestreno privado. Las organizaciones y las empresas con equipos de respuesta a incidentes de seguridad dedicados pueden solicitar información sobre el preestreno privado a través de sus Administradores de Cuentas Técnicas o por correo electrónico a mappbeta@microsoft.com. Microsoft planea poner Interflow a disposición de todos los miembros de MAPP en el futuro.

Al principio comenté que la comunidad de la seguridad cibernética fue la inspiración para Interflow. Esperamos con interés trabajar con la comunidad para dar forma a la ruta a seguir. El anuncio de hoy coincide con la 26ª PRIMERA Conferencia  (FIRST Conference) anual en Boston, Massachusetts. Los asistentes a la conferencia pueden pasar por el stand #8 de Microsoft, observar una demostración y hablar sobre la participación en el preestreno privado de Interflow.

Por último, pueden encontrar respuestas a las preguntas más frecuentes aquí (here), y aprender cómo Interflow permite una comunidad de seguridad cibernética colectiva más fuerte en www.microsoft.com/interflow.

Gracias,

Jerry Bryant
Estratega Senior de Seguridad, Microsoft Security Response Center (MSRC)