|

MAPP, que son las siglas en inglés del Programa de protecciones activas de Microsoft, lo ejecuta Microsoft Security Response Center (MSRC). El programa proporciona a los proveedores asociados de software de seguridad acceso anticipado a información sobre la vulnerabilidad de seguridad antes de la actualización de seguridad mensual de Microsoft. El acceso anticipado a esta información ayuda a los asociados de MAPP a integrar con más rapidez y eficacia las protecciones en el software de seguridad o los productos de hardware (como el software antivirus, los sistemas de detección de intrusiones basados en red o los sistemas de prevención de intrusiones basados en host).

Microsoft se compromete con la mejora continua para ayudar a los clientes a administrar los riesgos y protegerse a sí mismos. Al compartir la información de la vulnerabilidad antes de la publicación de las actualizaciones de seguridad, MAPP permite a los proveedores de software de seguridad que operan en las capas de la aplicación y la red ofrecer protección con puntualidad a nuestros clientes comunes. Sin este programa, los proveedores de software de seguridad tendrían que esperar hasta la publicación de un boletín de seguridad antes de desarrollar las protecciones.

MAPP para proveedores de seguridad representa el núcleo del programa que lleva en vigor desde 2008 y, aparte de eso, comparte información incluso anterior para los asociados cualificados, a fin de ayudar a proteger a los clientes proporcionándoles acceso anticipado a los datos de detección de la próxima versión de seguridad, con el requisito de que los asociados creen e implementen firmas en sus productos. Hay tres niveles en el programa MAPP: MAPP Básico, MAPP ANS y MAPP Validación.

Al igual que el Programa de validación de actualizaciones de seguridad (SUVP), MAPP Validación ofrece a los asociados cualificados la capacidad de probar las directrices de detección de MAPP. Este enfoque basado en la comunidad para validar la información de detección mejora la calidad de las directrices. MAPP Validación es un programa al que se accede solo con invitación, que tiene una pertenencia limitada y criterios de participación estrictos.

MAPP ANS (servicio de notificación avanzada) es el segundo nivel del programa MAPP para proveedores de seguridad. Pone los datos de MAPP a disposición de los asociados cualificados cinco días antes del ciclo de actualizaciones mensuales de Microsoft. Si bien este programa está abierto a todos los proveedores de seguridad, sus criterios se basan en la participación en el programa, la duración en el programa MAPP y la necesidad de formar parte de un programa de uso compartido de información con Microsoft. El uso compartido de la información se trata en la sección siguiente.

MAPP Básico es la oferta de MAPP tradicional, que pone los datos de MAPP a disposición de los asociados cualificados 24 horas antes del ciclo de actualizaciones mensuales de Microsoft. Todas las nuevas organizaciones de asociados empiezan por el nivel MAPP Básico.

Puesto que Microsoft proporciona directrices de detección de vulnerabilidades antes de publicarse la actualización del martes, se asume un nivel de riesgo. Por tanto, debemos garantizar que los asociados de MAPP tienen capacidad y disposición para mostrar recompensas proporcionales a dicho riesgo mediante la protección de los clientes. ¿Cómo ocurre esto? Microsoft proporcionará dos series de directrices de detección 24 horas antes de la publicación de la actualización del martes, una incluirá productos de Microsoft (MAPP) y otra, productos de Adobe. El paquete también incluirá un informe en el que se indican las CVE incluidas y si la creación de la firma es obligatoria u opcional. Para las CVE obligatorias, el asociado debe crear las firmas e integrarlas en los productos de detección junto con la actualización del martes. Normalmente, las CVE obligatorias suman entre 3 y 6 firmas en total para cada producto (MAPP y Adobe).

El asociado debe proporcionar informes sobre ambas publicaciones 10 días después de la publicación para la creación de la firma y 30 días después de la publicación para las detecciones de telemetría respecto a dichas firmas. Para participar en MAPP, es obligatorio cumplir los requisitos de la creación de firmas tanto para MAPP como para Adobe y también los requisitos de elaboración de informes.

Actualmente no admitimos productos de detección pasiva ni detecciones basadas en comportamientos o patrones.

En primer lugar, envíe un mensaje de correo electrónico detallado a secure@microsoft.com. Algún miembro del MSRC se pondrá en contacto con usted para tratar su información. Todos los envíos deberán realizarse con la clave PGP pública del MSRC que se encuentra en https://microsoft.com/msrc/pgp-key

Envíe cualquier problema o pregunta sobre MAPP a MAPP@microsoft.com. Las preguntas y escalaciones de seguridad generales no específicas de los programas MAPP deben enviarse a secure@microsoft.com. Cuando se envíen o reciban directrices de detección de MAPP, se debe usar la clave PGP de MAPP. Está disponible en https://microsoft.com/msrc/pgp-key

En el contexto de MAPP, las "protecciones de seguridad de software activas" son mecanismos que pueden detectar intrusiones en un sistema de Microsoft o defender un sistema de Microsoft frente a intentos de aprovechamiento, en caso de que no esté disponible una actualización de seguridad de Microsoft para el problema del que se saca provecho. Por ejemplo, las definiciones de antivirus que desencadenan comportamientos malintencionados o las firmas de IDS que bloquean los intentos de aprovechamiento se consideran protecciones de seguridad de software activas.

No. MAPP exige que sus miembros creen firmas o soluciones a amenazas similares de forma activa para sus productos a nivel interno. Se espera que los participantes de MAPP usen directamente los datos proporcionados a través del programa para desarrollar protecciones internamente.

Sí, MAPP es un programa público. Si se le acepta como participante, puede promocionarse como un asociado de MAPP. Los aspectos del programa que son confidenciales son los que están relacionados con las operaciones y los datos proporcionados. Toda la información confidencial está sujeta al acuerdo de confidencialidad de Microsoft.

Si cumple los requisitos de calificación de MAPP, descargue y complete el formulario de protecciones activas de MAPP y envíelo a MAPP@microsoft.com.

Contamos con un nuevo programa llamado MAPP para respondedores que se presentará muy pronto y que satisfará mejor sus necesidades. Si lo desea, podemos ponerlo en contacto con el administrador del programa.

Los asociados de MAPP que no consigan los objetivos mínimos del programa están sujetos a la suspensión y posible expulsión del programa.

Puede ponerse en contacto con nosotros directamente en MAPP@microsoft.com.

Microsoft se compromete a minimizar los riesgos de los clientes, y los criterios de elegibilidad son necesarios para orientar las protecciones a amplios grupos de clientes. Microsoft continuará evaluando y actualizando los criterios según proceda.

Los asociados de MAPP reciben información anticipada sobre las vulnerabilidades de seguridad que se prevén abordar en las versiones de las actualizaciones de seguridad mensuales programadas regularmente de Microsoft. Esta información se proporciona como un paquete de documentos en los que se describe lo que Microsoft sabe sobre las vulnerabilidades. Incluye los pasos utilizados para reproducir la vulnerabilidad, además de los pasos aplicados para detectar el problema. Periódicamente, Microsoft puede proporcionar también herramientas de prueba de concepto o reproducción para arrojar más luz sobre el problema y ayudar con mejoras de protección adicionales, siempre y cuando esta información permita a los proveedores de seguridad de software proporcionar protecciones oportunas y mejoradas a nuestros clientes comunes.

Microsoft ha realizado la transición a un modelo automatizado para la recopilación y divulgación de información. Todos los asociados de MAPP reciben información mediante una API o una descarga directa desde un portal establecido. Todos los asociados también tienen acceso a una fuente de metadatos de archivos limpios (CFMD) que ayudará a prevenir falsos positivos en las detecciones.

Microsoft también promueve el intercambio de información como parte del programa. No se trata de un requisito de pertenencia a MAPP, pero es una oportunidad para obtener mayor acceso a los datos sobre las amenazas. Se trata de un programa de uso compartido y, por tanto, los asociados deberán compartir los datos con Microsoft.

La información que actualmente se comparte incluye:
  • Directrices de detección tradicionales
  • Direcciones URL malintencionadas
  • Valores hash de archivos de Windows
  • Indicadores de amenazas (contra ataques activos en sistemas basados en MS)
  • Indicadores de vulnerabilidades de seguridad
  • Otra información

Microsoft defiende un uso compartido equitativo de la información de seguridad. No existe una fórmula sobre lo que se puede compartir, pero los datos, por lo general, deben ayudar a aumentar el reconocimiento de posibles amenazas en el ecosistema. Algunos ejemplos de datos compartidos son: valores hash de archivos, direcciones IP malintencionadas, nombres de archivos asociados con ataques conocidos, datos de detonación e indicadores de sistemas comprometidos (todos los tipos).