STPP (Strategic Technologt Protection Program), EL PROGRAMA ESTRATÉGICO DE PROTECCIÓN TECNOLÓGICA DE MICROSOFT 

INTRODUCCIÓN

Se sabe que la seguridad en sistemas de información es un capítulo de constante actualidad hoy en día, lo que no es en absoluto una buena noticia para ningún cliente, que siente como sus sistemas podrían estar expuestos a riesgos similares a los presentados con frecuencia tanto en los medios de comunicación generales como en los especializados.

La continua aparición de vulnerabilidades en los sistemas, noticias de accesos no deseados e incluso vulnerabilidades manifiestas en software ampliamente extendido y crítico para el funcionamiento de internet (servidores de DNS, servidores de web), virus informáticos etc., hacen de la seguridad un área de especial foco para el correcto desarrollo de los negocios en esta era digital. 

Mas allá del acceso a la información y servicios de un usuario final, la integración de internet en los procesos de negocio de una compañía necesita más que nunca de un grado de fiabilidad y confianza en el medio. Sólo cuando ese grado de confianza se alcanza y se mantiene, podrá disminuirse ese gran inhibidor de desarrollo digital que es la sensación de inseguridad.

Paradójicamente, el origen primario y la solución última de estos problemas se encuentra en los propios fabricantes de software, hardware, ISV, etc., desde un punto de vista estríctamente tecnológico. Los productos desarrollados por los fabricantes, expuestos a usos no previstos, pueden presentar una respuesta no deseada, que se explotará como vulnerabilidad hasta que el fabricante no corrija el código que lo originó. 

El nivel de riesgo de esta vulnerabilidad dependerá de varios factores: popularidad de la vulnerabilidad, impacto y simplicidad.

Popularidad: ¿cuántas personas conocen esta vulnerabilidad?
Impacto: ¿cómo podría afectar su "explotación" al sistema ?
Simplicidad: ¿resulta una tarea minuciosa o sencilla el explotarla ?

El problema afecta a toda la industria, tal y como se puede comprobar en fuentes reconocidas como Bugtrack o incluso en estudios más exhaustivos llevados a cabo por el FBI (octubre de 2001) y el prestigioso instituto SANS (Systems Administration, Networking and Security, Institute), determinando las 20 vulnerabilidades más críticas y su distribución por plataformas, concluyendo en la siguiente distribución: 7 vulnerabilidades generales; 6 vulnerabilidades Windows; 7 vulnerabilidades Unix.

Si el origen está en la propia industria de TI en su conjunto, la solución última también pasa por la responsabilidad de los fabricantes de software, hardware e ISVs en detectar y corregir las vulnerabilidades de su código en un corto periodo de tiempo, idealmente menor que el tiempo de un hacker en explotar y difundir la vulnerabilidad por cualquier medio.

Si algo es claro, es que interesa a todos disponer de un entorno seguro de confianza en el que las empresas puedan desarrollar, extender y mantener sus modelos de negocio, aumentar el alcance de sus productos o servicios, disminuir sus costes de integración etc.

Dentro de la estrategia global de Microsoft para la empresa (.Net), la seguridad juega un papel crítico en todos y cada uno de sus componentes. La inversión de Microsoft en seguridad ha ido, en consecuencia, cubriendo los distintos frentes tecnológicos para mantener la confianza de los clientes que utilizan su tecnología como soporte de sus negocios.

La inclusión de tecnologías de PKI, Kerberos, IPSec, EFS, Directorio Activo en la base del sistema operativo Windows 2000, o la aparición de nuevos productos destinados a la protección perimetral de redes como Microsoft ISA Server, o destinados a maximizar la disponibilidad de las aplicaciones y sistemas como Microsoft Application Center, o programas como Microsoft Data Center (con estrictos contratos de SLA), etcétera, muestran parte de esa inversión tecnológica.

Igualmente, los tiempos de respuesta en la detección, reparación y distribución de las actualizaciones de seguridad han disminuido de forma espectacular, como reflejo de las elevadas inversiones que algunos fabricantes han dedicado en tiempo, dinero y recursos.

En Microsoft somos muy conscientes de nuestra responsabilidad como parte importante de la industria, y las inversiones en seguridad han ido, en consecuencia, ofreciendo unos tiempos de respuesta muy cortos en la publicación de updates y herramientas. Así, se han realizado inversiones de más de 100 millones de dólares para el desarrollo de herramientas que ayuden a detectar y corregir vulnerabilidades.

Pero hay que hacer más, porque la industria lo necesita. Según datos del CERT (Computer Emergency Response Team), el número de incidentes registrados en el periodo Enero-Septiembre de 2001, excedió en un 60% al número registrado en todo el año 2000. Si se tiene en cuenta que el número de incidentes registrados por el citado organismo es una pequeña parte de los ocurridos realmente (no reportados al CERT por imagen o por simple desconocimiento tanto de la existencia del incidente, como del CERT), estamos ante un problema en aumento que requiere la colaboración de todos para su solución.

Es el tiempo de los clientes. Nos interesa la seguridad de los negocios de nuestros clientes. Sabemos que es un problema de la industria de IT y como tal debemos movilizarnos. 

No nos consuela saber que la actualización que hubiera evitado la distribución de un virus como Nimda o Código Rojo estuviera disponible meses antes. Y si no nos consuela es porque tampoco consuela a los clientes afectados. 

No es tiempo ya de disputas entre fabricantes. No es tiempo ya de los "40 principales" de la vulnerabilidades, las top ten o las ten top. Partamos de esta tesis: "Las vulnerabilidades en todos los sistemas están aquí para quedarse". 

Una vulnerabilidad tecnológica puede ser interpretada como la susceptibilidad de un sistema o producto a sufrir daños ante ataques específicos. Exponer un sistema (hardware, software) extremadamente complejo a un uso no previsto, da como resultado una respuesta no deseada. Desde el momento en el que manejamos el concepto "uso no previsto", debemos concluir en que las vulnerabilidades no desaparecerán en ningún sistema ni fabricante.

Y creo que todos los profesionales de las TI llevamos tiempo viviendo esta experiencia y siendo conscientes de ello.

Sabemos perfectamente que la información contenida en estas direcciones no son precisamente "recetas de cocina":

http://www.microsoft.com/security
http://www-1.ibm.com/servlet/support/manager?rs=0&rt=1&mr=200&nid=1&cat=Fixpaks&q=
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access
http://www.sap.com/solutions/technology/sapdb/sap_db_patches.htm
http://otn.oracle.com/deploy/security/alerts.htm
http://developer.bea.com/code/alerts.jsp
http://www.iplanet.com/download/patches
etc..

Bien, asúmase esta realidad y póngase al cliente en el centro. Es el tiempo de perseguir con ahínco la invulnerabilidad tecnológica de los sistemas de los clientes, y para ello Microsoft trabajará codo con codo con cualquiera en la búsqueda de soluciones, incluidos nuestros competidores. Para ello, queremos facilitar sobremanera la labor de los responsables de seguridad en TI en cuanto al mantenimiento de sus sistemas actualizados y correctamente configurados mediante la aplicación de este programa. ¿Cómo?

El enorme esfuerzo de Microsoft en materia de seguridad se ha venido centrando en la celeridad con la que MS pone a disposición de sus clientes el update correspondiente a la vulnerabilidad detectada. Hablamos del Microsoft Security Response Team, probablemente el mejor equipo de la industria del software para dar respuesta a incidencias de seguridad que afecten a nuestros productos. 

Sin embargo, esa celeridad no ha sido suficiente para evitar que un virus como Nimda haya podido extenderse meses después. 

Podríamos conformarnos con decir que "es que los administradores deberían tener actualizados sus sistemas en materia de updates de seguridad" o "es que la política de seguridad de las corporaciones infectadas ha sido insuficiente por no haber contemplado una actualización de software eficiente" o que "el fabricante detectó esa vulnerabilidad y tardó 24 horas en crear y distribuir ese update", etc. 

Muy bien, y cualquiera de esas afirmaciones pudiera ser cierta, pero la realidad se impone y la realidad es que los sistemas no se actualizan con la celeridad que se debieran. 

Sabemos que resulta tremendamente laborioso y penoso para administradores y responsables de seguridad el tener que estar pendiente de cuándo un fabricante publica o deja de publicar un update, especialmente cuando éste tiene sistemas multiplataforma etc".

Para ayudar al administrador en la correcta configuración y actualización de nuestros sistemas en Microsoft vamos a pasar de un modelo "Pull" a un modelo "Push". Es decir, vamos a pasar del "Ven y cógelo" al "Toma e instálalo" ". En castizo: ..." si Mahoma no va a la montaña, la montaña va a Mahoma..." . 

Para ello, extendemos la inversión que hemos hecho en seguridad para completar el ciclo, es decir, para llegar mas allá del anuncio y publicación del update en la web -que es lo que los fabricantes hacemos ahora-, a fin de llegar hasta los sistemas del cliente de forma efectiva.

Queremos que como fruto de la aplicación del programa STPP, a los administradores les resulte muy fácil el tener sus sistemas Microsoft correctamente configurados en términos de seguridad, y perfectamente actualizados.

¿Para qué? Para que la selección de plataforma Microsoft en sistemas empresariales y de misión crítica sea una decisión cada vez más apoyada y defendida por los responsables de seguridad, como de hecho comienza a suceder con mayor frecuencia. No hay que olvidar que un sistema bien actualizado y configurado resulta casi impenetrable e invulnerable.

Llegados a este punto, se describe el denominado STPP, Programa Estratégico de Protección Tecnológica (Strategic Technology Protection Program).

EL PROGRAMA STPP 

En este marco es donde surge el programa STPP, anunciado por Brian Valentine, vicepresidente senior de Microsoft Corporation el pasado 2 de octubre en una conferencia de seguridad ante 1.000 CIOs de las principales compañías americanas. Dicho anuncio representa una movilización sin precedentes de recursos y medios de Microsoft para ayudar a sus clientes a proteger sus entornos de computación, independientemente de su tamaño, y mantenerlos seguros.

El programa persigue un doble objetivo: asegurar que los clientes actualizan correctamente sus sistemas desde el punto de vista de la instalación de updates de seguridad (Get Secure) y configuración correcta, para posteriormente ayudarles a mantener sus sistemas perfectamente actualizados (Stay Secure):

Get Secure
Ayudemos a maximizar el nivel de seguridad de nuestra plataforma Microsoft ahora. ¿En qué términos? En términos de sistemas correctamente configurados y actualizados.

¿Que comprende Get Secure?
1.- Teléfono de asistencia gratuita (902 197198) para:
- Ayudar a nuestros clientes en la resolución de incidencias originadas por virus
- Asesorar sobre la instalación de updates de seguridad.
2.- Oferta de Servicios para revisiones de seguridad de plataforma Microsoft y workshops de seguridad, para su implantación por tanto los principales integradores y consultoras con reconocido prestigio en seguridad en España, como los Microsoft Consulting Services. Queremos llegar con esta iniciativa a todos nuestros clientes y partners.
3.- MS Security Toolkit (petición vía web o directamente a Microsoft Ibérica). Este es un CD gratuito con herramientas muy útiles para actualizar ahora los sistemas MS de los clientes y configurarlos en modo más seguro. Mediante un proceso de instalación muy sencillo, el cliente podrá actualizar en términos de Service Pack y updates críticos de seguridad su sistema WNT o W2K. Además podrá en el mismo proceso configurar de forma segura su IIS en función de la aplicación que esté ejecutando (ASPs, HTML, MS Share Point Portal Server, Outlook Web Access (Exchange), MS Content Management Server, MS BizTal Server, MS Commerce Server, etc..).

Algunas no son herramientas nuevas; ya existían, pero probablemente no se habían anunciado adecuadamente. Queremos acercar estas herramientas a todos los administradores porque les serán extremadamente útiles. Los nombres de algunas de las herramientas que se incluyen son:

- Internet Information Services Lockdown Wizard (sencilla herramienta para configurar correctamente en términos de seguridad un IIS)
- URLScan (filtro de direcciones "sospechosas" de ser parte de un ataque)
- hfnetchk.exe (útil y sencilla herramienta para analizar el estado de actualización de los servidores en materia de updates)
- Qchain (herramienta para encadenar la instalación de varios updates con un solo 
- reboot).
- Windows 2000 Critical Update Notification (herramienta para mantenerse informado de forma sencilla sobre la aparición de nuevos updates)
- Más herramientas que se irán añadiendo y publicando dirigidas a la empresa.

4.- Rollup bimensual de actualizaciones de seguridad. Cada dos meses, se ofrecerán todos estos updates para ser instalados en un sólo paso con un único reboot. Esto facilitará mucho la labor de los administradores de los sistemas.

Stay Secure 
Sin duda, Stay Secure es la parte más importante, estratégica y diferenciadora del programa. Si ya se ha conseguido un nivel aceptable de seguridad (en los términos que se han definido) en los sistemas de los clientes mediante la aplicación de Get Secure, procede ahora mantener este nivel en el tiempo. Que esto no sea un "pico" puntual de seguridad para volver en unos meses a un nivel bajo y vulnerable.

Por eso, estamos trabajando en distintas iniciativas sobre las que destaca el programa: 

- Microsoft Software Update Services -

Esto sí es revolucionario y puede significar un paso importante en cuanto a la facilidad de 'securización' de los sistemas en materia de updates. Este programa podrá facilitar en extremo el cumplimiento por parte de los administradores de seguridad de esa línea que existe en toda política de seguridad que se precie: " ... actualizar permanentemente los sistemas en materia de updates de seguridad etc.. "

Probablemente muchos lectores ya conozcan qué es Windows Update. Especialmente aquellos que hayan instalado Windows Millenium, Windows 2000 Proffesional o Windows XP. 

Para aquellos que no lo conocen, cabe resaltar que es una tecnología ("bandwidth-throttling technology") -hasta la fecha aplicada al desktop-, por la cual el sistema aprovecha los tiempos de desuso de una conexión a Internet (mientras se lee una página web, o se lee el correo que nos hemos descargado etc..) para en modo background bajar una actualización de seguridad (debidamente firmada por Microsoft) de la que carezca el sistema, para posteriormente preguntarnos si queremos instalarlo, cuándo, de qué forma o simplemente no instalarlo. 

La experiencia del usuario de esta tecnología es tremendamente positiva porque sin ningún tipo de esfuerzo por su parte ni disminución del rendimiento, mantiene perfectamente actualizado su sistema y por tanto, invulnerable a exploits de vulnerabilidades de sistemas bajo cualquiera de sus aspectos (virus, gusanos, ataques etc..). Al cliente se le presentan pantallas de este estilo:

Esto es así porque el usuario del desktop ha decidido que así sea. Es decir: hubiera tenido todas las opciones disponibles en cuanto a instalación del update como puede verse en la pantalla de administración que a este respecto tiene el sistema actual de Windows Update en el desktop.

Bien, ¿En qué consiste entonces el programa Microsoft Software Update Services? Respuesta muy breve: Apliquemos esta tecnología a los servidores. Apliquemos esta tecnología a la empresa.

La tecnología existe, funciona, su escalabilidad está más que demostrada (¿Pueden imaginar cuántos millones de conexiones al día soportan actualmente nuestros sistemas de Windows Update dando servicio directamente al desktop?)

¿Qué más se necesita para que esto funcione en un entorno corporativo? Algo fundamental: un servidor corporativo interno, sincronizado directamente con Microsoft y que reciba los updates de seguridad para que tan pronto como Microsoft publica una actualización de seguridad, en horas pueda tenerse disponible en el servidor interno. 

Es decir, no se tendrá que habilitar la conexión directa de los servidores a Internet para llegar a los Windows Update Server de Microsoft. Uno recibirá la información y la distribuirá internamente entre los restantes servidores y clientes.

Ahora bien, ¿cómo se distribuyen los updates a los servidores internos que además están en producción? ¿cómo se distribuyen a los desktops, que sean receptores de un update de seguridad determinado?

Para ello, se aplicará la tecnología de Windows Update a la propia organización, es decir, el servidor (o servidores) de Windows Update al que se conectará/n los servidores internos no serán los de Microsoft, sino los servidores internos de Windows Update corporativos, que utilizando la misma tecnología que emplea Microsoft, podrán distribuir dichas actualizaciones internamente, y lo que es más importante, de forma controlada y administrada. 

El administrador decidirá muy fácilmente (con un interfaz web) cuándo y de qué forma quiere instalar el update en cada servidor o desktop; si de forma atendida, de forma desatendida, primero en un sistema en pruebas antes de pasarlo a un sistema en producción (los updates podrán pasar por un estado previo de aprobación antes de ser ofrecido a los clientes internos), si se quiere instalar a determinadas horas, determinados días, etc.. 

El administrador tendrá un control total sobre cómo mantener sus sistemas actualizados, dentro de la política de seguridad existente. Una pantalla de administración como las de la figura anexa permitirá tomar estas decisiones tanto en lo que respecta a la sincronización con Microsoft, como en la distribución interna del update aprobado para su distribución.

Mediante el correcto funcionamiento de esta tecnología, se podrán mantener actualizados los sistemas en términos de seguridad de forma muchísimo más eficiente y de manera mucho más sencilla que cualquier otra plataforma.

El objetivo es que la plataforma Microsoft sea la mejor gestionada en estos términos, la que ofrezca un mayor valor añadido y en consecuencia -con este grado de actualización de updates de seguridad-, la plataforma más fiable.

A grandes rasgos, la arquitectura del sistema (escalable) se presenta en la siguiente figura:

CONSECUENCIAS DEL STPP 

En resumen:
Get Secure: configuremos nuestros sistemas de forma segura y actualicemos en términos de updates de seguridad. Para ello se dispone de herramientas gratuitas de gran ayuda, además de servicios y workshops que completan esta iniciativa
Stay Secure: Mantengamos nuestros sistemas actualizados y bien configurados en términos de seguridad en el tiempo. 

Un sistema permanece vulnerable durante el periodo transcurrido desde el descubrimiento de la vulnerabilidad por parte del fabricante, un IDS o terceros, hasta que el cliente tiene el update correctamente instalado en su sistema. Ahí termina el ciclo. No antes.

Sin embargo todos los fabricantes detienen el ciclo en un paso anterior: en el momento de la publicación en la web de la alerta y el update correspondiente. Desde ese momento, depende de la eficiencia de la política de seguridad del usuario (de existir) el completar el ciclo, instalando ese update de forma efectiva.

Microsoft quiere completar el ciclo. Quiere llegar de forma efectiva hasta el usuario final. Es decir, que la actualización de los sistemas Microsoft en términos de seguridad sea una opción, y no una acción. 

De esta forma, el tiempo de vulnerabilidad de un sistema se habrá podido reducir de forma notable, no dando tiempo a una amenaza potencial a que desarrolle el ataque en cualquiera de sus formas. 


Es bien conocido que en un 99% de los casos, el descubridor de una vulnerabilidad no es la misma persona que explota o hackea un sistema. Lo habitual es que el hacker aproveche ese descubrimiento de terceros para crear el exploit o ataque, con el fin de o utilizarlo directamente o expandirlo por la red. De hecho, los exploits se difunden en ocasiones incluso meses después de la aparición de la vulnerabilidad y el update del fabricante.

El programa STPP, reduce de tal manera el tiempo transcurrido entre el descubrimiento de la vulnerabilidad y la actualización efectiva del sistema del cliente, que dejará un margen de vulnerabilidad tecnológica en los sistemas muy bajo.

Todos sabemos, y no debe olvidarse, que la tecnológica no es la única vulnerabilidad a la que un sistema puede estar expuesto. Los procedimientos y las personas resultan igualmente fuentes de vulnerabilidades, y estos factores los contempla STPP -como ya se ha descrito en la fase Get Secure-, a través de workshops de seguridad en plataforma MS y ofertas de servicios que en el marco de este programa, los servicios de consultoría de Microsoft y sus partners están en disposición de ofrecer.

Podemos convertir nuestro entorno actual más critico en plataforma Microsoft en la plataforma mejor gestionada en términos de seguridad, y así mismo, constatar que Microsoft proporciona una plataforma con un valor añadido único en términos de seguridad. 

Ninguna otra plataforma hoy en día ofrece un programa similar a Microsoft Software Update Services y eso representa claramente una diferenciación importantísima.

El programa nace con los administradores de sistemas críticos en mente, las herramientas y tecnologías que lo acompañan son absolutamente gratuitas; Microsoft no quiere abrir una línea de negocio en este sentido; tan solo tiene un objetivo: aumentar la confianza de sus clientes en la plataforma Microsoft para sus sistemas críticos y que además su elección sea respaldada por hechos concretos y tecnología concreta.


Héctor Sánchez Montenegro
Supervisor Ingeniería de Preventa
División de Grandes Organizaciones
MICROSOFT IBÉRICA Srl.
hectors@microsoft.com