Федерален контролен съвет призова Microsoft да приоритизира подхода си към сигурността в облака и да спре да прехвърля тежестта върху клиентите след кибератаката от юли 2023 г., която позволи на китайски заплахи да пробият акаунти в Microsoft 365, за да шпионират ключови правителствени служители на САЩ.
Докладът, публикуван на 2 април от независимия Съвет за преглед на киберсигурността към Министерството на вътрешната сигурност (DHS), предлага подстрекателски преглед на културата на сигурност на Microsoft, като хвърля вината изцяло върху компанията и „каскада от провали в сигурността“ за кибершпионската атака на базираната в Китай група за заплахи Storm-0558, която „никога не е трябвало да се случи“.
Бордът, който разследваше пробива по нареждане на президента Джо Байдън, поиска от технологичния гигант да постави киберсигурността на първо място в дневния си ред. Също така трябва да му се търси строга отговорност да направи значителни промени в позицията си за сигурността на облаците, като дори даде приоритет на тези промени пред новите продуктови функции и разработки.
„За да се стимулира бързата културна промяна, която е необходима в Microsoft , съветът смята, че клиентите на Microsoft ще имат полза от това главният изпълнителен директор и съветът на директорите да се фокусират пряко върху културата на сигурност на компанията и да разработят и споделят публично план с конкретни срокове за извършване на фундаментални, фокусирани върху сигурността реформи в цялата компания и в пълния й набор от продукти“, казват служителите в доклада.
Като част от прегледа си съветът направи редица препоръки в тази насока, включително топ мениджърите не само да разработят този план, но и да държат лидерите на всички нива в компанията отговорни за изпълнението му.
Ръководството на Microsoft също така трябва да обмисли възможността да насочи вътрешните екипи към „деприоритизиране на разработването на функции в облачната инфраструктура и продуктовия пакет на компанията, докато не бъдат направени съществени подобрения в сигурността“, като вместо това се оценява и решава въпросът за сигурността преди внедряването на каквито и да било нови функции, заключи съветът.
Като се има предвид зависимостта от сигурността на облачните услуги и инфраструктура на Microsoft, софтуерният гигант и другите доставчици на услуги в облака също трябва да поемат по-голяма отговорност като цяло за резултатите от сигурността на своите клиенти. Една от точките за действие на първо място в този списък е да се спре практиката клиентите да плащат за регистриране на данни, свързани със сигурността, като това се превърне в „основен елемент“ на облачните предложения, а не в допълнителна услуга срещу допълнително заплащане.
Microsoft вече отстъпи и премахна таксите, свързани с разширения достъп до регистриране на данни за всички нива на притежателите на лиценз за 365, малко след нарушението, след като получи оплаквания, че на практика налага данък върху регистрирането на данни на клиентите.
Общият извод на комисията е, че вината за нарушението – което позволи на Storm-0558 да получи достъп до имейл акаунти в 25 правителствени агенции в Западна Европа и САЩ – е единствено на Microsoft и се дължи пряко на поредица от пропуски в сигурността от страна на компанията.
Тъй като последиците от нарушението се засилиха в седмиците след първоначалното му откриване, през септември 2023 г. Microsoft в крайна сметка призна за поредица от грешки, довели до това, че Storm-0558 е използвал потребителски ключ за подписване на акаунт в Microsoft (MSA), за да подправи токени Azure AD за достъп до корпоративни имейл акаунти. Потребителските ключове MSA обикновено се използват за криптографско подписване в потребителско приложение или услуга на Microsoft, като например Outlook.com, OneDrive и Xbox Live.
Тогава компанията заяви, че в резултат на състезателно условие ключът за подписване е присъствал или в срив на системата, или в моментна снимка на сринатата система. В крайна сметка ключът се е озовал при екипа за отстраняване на грешки в корпоративната мрежа на Microsoft, свързана с интернет, откъдето вероятно са го взели заплахи.
Въпреки това правителствените служители държат изпълнителните директори в течение за това, че компанията не е успяла сама да открие компрометирането на своите „криптографски перли в короната“, тъй като именно клиент – организация за защита на човешките права, която не е имала достъп до разширено регистриране на сигурността на облака – пръв е предупредил компанията за потенциалния проблем.
Освен това Microsoft никога не е доказала, че ключът, използван от нападателите, е попаднал в някое сривче или снимка, и не е коригирала „своевременно“ изявленията, в които това се посочва като основна причина. Всъщност Microsoft не се отказа от историята си за това как ключът е попаднал в ръцете на Storm-0558 до миналия месец, когато промени публикацията си в блога и призна, че никога не е откривала crash dump, съдържащ ключа.
И накрая, Microsoft като цяло е небрежен в сравнение с други доставчици на облачни услуги (ДУУ), когато става въпрос за сигурност на облака, като не успява да поддържа контрол на сигурността по подобен стандарт, установи комисията. Компанията трябва незабавно да повиши нивото си, като се има предвид, че нейните повсеместно използвани продукти „са в основата на основни услуги, които подкрепят националната сигурност, основите на нашата икономика и общественото здраве и безопасност“, което от своя страна изисква от Microsoft „да демонстрира най-високите стандарти за сигурност, отчетност и прозрачност“, заключават служителите.
Говорител на Microsoft заяви, че компанията оценява работата на съвета по разследването на атаката и че след нея компанията е признала„необходимостта от възприемане на нова култура на инженерна сигурност в собствените ни мрежи“.
За тази цел Microsoft представи т.нар. инициатива „Сигурно бъдеще“, за да мобилизира инженерните си екипи да идентифицират и смекчат последиците от наследената инфраструктура, да подобрят процесите и да наложат критерии за сигурност.
„Нашите инженери по сигурността продължават да укрепват всички наши системи срещу атаки и да внедряват още по-стабилни сензори и логове, които да ни помагат да откриваме и отблъскваме кибероръжията на нашите противници“, каза говорителят и добави, че Microsoft ще вземе предвид и всички допълнителни препоръки на съвета.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.