Търсене
Close this search box.

Федералните към Microsoft: Оправете си сигурността в облака незабавно

Федерален контролен съвет призова Microsoft да приоритизира подхода си към сигурността в облака и да спре да прехвърля тежестта върху клиентите след кибератаката от юли 2023 г., която позволи на китайски заплахи да пробият акаунти в Microsoft 365, за да шпионират ключови правителствени служители на САЩ.

Докладът, публикуван на 2 април от независимия Съвет за преглед на киберсигурността към Министерството на вътрешната сигурност (DHS), предлага подстрекателски преглед на културата на сигурност на Microsoft, като хвърля вината изцяло върху компанията и „каскада от провали в сигурността“ за кибершпионската атака на базираната в Китай група за заплахи Storm-0558, която „никога не е трябвало да се случи“.

Бордът, който разследваше пробива по нареждане на президента Джо Байдън, поиска от технологичния гигант да постави киберсигурността на първо място в дневния си ред. Също така трябва да му се търси строга отговорност да направи значителни промени в позицията си за сигурността на облаците, като дори даде приоритет на тези промени пред новите продуктови функции и разработки.

„За да се стимулира бързата културна промяна, която е необходима в Microsoft , съветът смята, че клиентите на Microsoft ще имат полза от това главният изпълнителен директор и съветът на директорите да се фокусират пряко върху културата на сигурност на компанията и да разработят и споделят публично план с конкретни срокове за извършване на фундаментални, фокусирани върху сигурността реформи в цялата компания и в пълния й набор от продукти“, казват служителите в доклада.

Поставете сигурността пред продуктовите иновации

Като част от прегледа си съветът направи редица препоръки в тази насока, включително топ мениджърите не само да разработят този план, но и да държат лидерите на всички нива в компанията отговорни за изпълнението му.

Ръководството на Microsoft също така трябва да обмисли възможността да насочи вътрешните екипи  към „деприоритизиране на разработването на функции в облачната инфраструктура и продуктовия пакет на компанията, докато не бъдат направени съществени подобрения в сигурността“, като вместо това се оценява и решава въпросът за сигурността преди внедряването на каквито и да било нови функции, заключи съветът.

Като се има предвид зависимостта от сигурността на облачните услуги и инфраструктура на Microsoft, софтуерният гигант и другите доставчици на услуги в облака също трябва да поемат по-голяма отговорност като цяло за резултатите от сигурността на своите клиенти. Една от точките за действие на първо място в този списък е да се спре практиката клиентите да плащат за регистриране на данни, свързани със сигурността, като това се превърне в „основен елемент“ на облачните предложения, а не в допълнителна услуга срещу допълнително заплащане.

Microsoft вече отстъпи и премахна таксите, свързани с разширения достъп до регистриране на данни за всички нива на притежателите на лиценз за 365, малко след нарушението, след като получи оплаквания, че на практика налага данък върху регистрирането на данни на клиентите.

Това е за сметка на Microsoft

Общият извод на комисията е, че вината за нарушението – което позволи на Storm-0558 да получи достъп до имейл акаунти в 25 правителствени агенции в Западна Европа и САЩ – е единствено на Microsoft и се дължи пряко на поредица от пропуски в сигурността от страна на компанията.

Тъй като последиците от нарушението се засилиха в седмиците след първоначалното му откриване, през септември 2023 г. Microsoft в крайна сметка призна за поредица от грешки, довели до това, че Storm-0558 е използвал потребителски ключ за подписване на акаунт в Microsoft (MSA), за да подправи токени Azure AD за достъп до корпоративни имейл акаунти. Потребителските ключове MSA обикновено се използват за криптографско подписване в потребителско приложение или услуга на Microsoft, като например Outlook.com, OneDrive и Xbox Live.

Тогава компанията заяви, че в резултат на състезателно условие ключът за подписване е присъствал или в срив на системата, или в моментна снимка на сринатата система. В крайна сметка ключът се е озовал при екипа за отстраняване на грешки в корпоративната мрежа на Microsoft, свързана с интернет, откъдето вероятно са го взели  заплахи.

Въпреки това правителствените служители държат изпълнителните директори в течение за това, че компанията не е успяла сама да открие компрометирането на своите „криптографски перли в короната“, тъй като именно клиент – организация за защита на човешките права, която не е имала достъп до разширено регистриране на сигурността на облака – пръв е предупредил компанията за потенциалния проблем.

Освен това Microsoft никога не е доказала, че ключът, използван от нападателите, е попаднал в някое сривче или снимка, и не е коригирала „своевременно“ изявленията, в които това се посочва като основна причина. Всъщност Microsoft не се отказа от историята си за това как ключът е попаднал в ръцете на Storm-0558 до миналия месец, когато промени публикацията си в блога и призна, че никога не е откривала crash dump, съдържащ ключа.

И накрая, Microsoft като цяло е небрежен в сравнение с други доставчици на облачни услуги (ДУУ), когато става въпрос за сигурност на облака, като не успява да поддържа контрол на сигурността по подобен стандарт, установи комисията. Компанията трябва незабавно да повиши нивото си, като се има предвид, че нейните повсеместно използвани продукти „са в основата на основни услуги, които подкрепят националната сигурност, основите на нашата икономика и общественото здраве и безопасност“, което от своя страна изисква от Microsoft „да демонстрира най-високите стандарти за сигурност, отчетност и прозрачност“, заключават служителите.

Говорител на Microsoft заяви, че компанията оценява работата на съвета по разследването на атаката и че след нея компанията е призналанеобходимостта от възприемане на нова култура на инженерна сигурност в собствените ни мрежи“.

За тази цел Microsoft представи т.нар. инициатива „Сигурно бъдеще“, за да мобилизира инженерните си екипи да идентифицират и смекчат последиците от наследената инфраструктура, да подобрят процесите и да наложат критерии за сигурност.

„Нашите инженери по сигурността продължават да укрепват всички наши системи срещу атаки и да внедряват още по-стабилни сензори и логове, които да ни помагат да откриваме и отблъскваме кибероръжията на нашите противници“, каза говорителят и добави, че Microsoft ще вземе предвид и всички допълнителни препоръки на съвета.

 

 

 

Източник: DARKReading

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
11/06/2024

Google премахва кампании за...

Google разкри, че е премахнала 1320...
09/06/2024

Редмънд се поддаде на натис...

Microsoft се поддаде на обществения натиск...
07/06/2024

Microsoft предупреждава за ...

Microsoft наблегна на необходимостта от защита...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!