Търсене
Close this search box.

Федерален контролен съвет призова Microsoft да приоритизира подхода си към сигурността в облака и да спре да прехвърля тежестта върху клиентите след кибератаката от юли 2023 г., която позволи на китайски заплахи да пробият акаунти в Microsoft 365, за да шпионират ключови правителствени служители на САЩ.

Докладът, публикуван на 2 април от независимия Съвет за преглед на киберсигурността към Министерството на вътрешната сигурност (DHS), предлага подстрекателски преглед на културата на сигурност на Microsoft, като хвърля вината изцяло върху компанията и „каскада от провали в сигурността“ за кибершпионската атака на базираната в Китай група за заплахи Storm-0558, която „никога не е трябвало да се случи“.

Бордът, който разследваше пробива по нареждане на президента Джо Байдън, поиска от технологичния гигант да постави киберсигурността на първо място в дневния си ред. Също така трябва да му се търси строга отговорност да направи значителни промени в позицията си за сигурността на облаците, като дори даде приоритет на тези промени пред новите продуктови функции и разработки.

„За да се стимулира бързата културна промяна, която е необходима в Microsoft , съветът смята, че клиентите на Microsoft ще имат полза от това главният изпълнителен директор и съветът на директорите да се фокусират пряко върху културата на сигурност на компанията и да разработят и споделят публично план с конкретни срокове за извършване на фундаментални, фокусирани върху сигурността реформи в цялата компания и в пълния й набор от продукти“, казват служителите в доклада.

Поставете сигурността пред продуктовите иновации

Като част от прегледа си съветът направи редица препоръки в тази насока, включително топ мениджърите не само да разработят този план, но и да държат лидерите на всички нива в компанията отговорни за изпълнението му.

Ръководството на Microsoft също така трябва да обмисли възможността да насочи вътрешните екипи  към „деприоритизиране на разработването на функции в облачната инфраструктура и продуктовия пакет на компанията, докато не бъдат направени съществени подобрения в сигурността“, като вместо това се оценява и решава въпросът за сигурността преди внедряването на каквито и да било нови функции, заключи съветът.

Като се има предвид зависимостта от сигурността на облачните услуги и инфраструктура на Microsoft, софтуерният гигант и другите доставчици на услуги в облака също трябва да поемат по-голяма отговорност като цяло за резултатите от сигурността на своите клиенти. Една от точките за действие на първо място в този списък е да се спре практиката клиентите да плащат за регистриране на данни, свързани със сигурността, като това се превърне в „основен елемент“ на облачните предложения, а не в допълнителна услуга срещу допълнително заплащане.

Microsoft вече отстъпи и премахна таксите, свързани с разширения достъп до регистриране на данни за всички нива на притежателите на лиценз за 365, малко след нарушението, след като получи оплаквания, че на практика налага данък върху регистрирането на данни на клиентите.

Това е за сметка на Microsoft

Общият извод на комисията е, че вината за нарушението – което позволи на Storm-0558 да получи достъп до имейл акаунти в 25 правителствени агенции в Западна Европа и САЩ – е единствено на Microsoft и се дължи пряко на поредица от пропуски в сигурността от страна на компанията.

Тъй като последиците от нарушението се засилиха в седмиците след първоначалното му откриване, през септември 2023 г. Microsoft в крайна сметка призна за поредица от грешки, довели до това, че Storm-0558 е използвал потребителски ключ за подписване на акаунт в Microsoft (MSA), за да подправи токени Azure AD за достъп до корпоративни имейл акаунти. Потребителските ключове MSA обикновено се използват за криптографско подписване в потребителско приложение или услуга на Microsoft, като например Outlook.com, OneDrive и Xbox Live.

Тогава компанията заяви, че в резултат на състезателно условие ключът за подписване е присъствал или в срив на системата, или в моментна снимка на сринатата система. В крайна сметка ключът се е озовал при екипа за отстраняване на грешки в корпоративната мрежа на Microsoft, свързана с интернет, откъдето вероятно са го взели  заплахи.

Въпреки това правителствените служители държат изпълнителните директори в течение за това, че компанията не е успяла сама да открие компрометирането на своите „криптографски перли в короната“, тъй като именно клиент – организация за защита на човешките права, която не е имала достъп до разширено регистриране на сигурността на облака – пръв е предупредил компанията за потенциалния проблем.

Освен това Microsoft никога не е доказала, че ключът, използван от нападателите, е попаднал в някое сривче или снимка, и не е коригирала „своевременно“ изявленията, в които това се посочва като основна причина. Всъщност Microsoft не се отказа от историята си за това как ключът е попаднал в ръцете на Storm-0558 до миналия месец, когато промени публикацията си в блога и призна, че никога не е откривала crash dump, съдържащ ключа.

И накрая, Microsoft като цяло е небрежен в сравнение с други доставчици на облачни услуги (ДУУ), когато става въпрос за сигурност на облака, като не успява да поддържа контрол на сигурността по подобен стандарт, установи комисията. Компанията трябва незабавно да повиши нивото си, като се има предвид, че нейните повсеместно използвани продукти „са в основата на основни услуги, които подкрепят националната сигурност, основите на нашата икономика и общественото здраве и безопасност“, което от своя страна изисква от Microsoft „да демонстрира най-високите стандарти за сигурност, отчетност и прозрачност“, заключават служителите.

Говорител на Microsoft заяви, че компанията оценява работата на съвета по разследването на атаката и че след нея компанията е призналанеобходимостта от възприемане на нова култура на инженерна сигурност в собствените ни мрежи“.

За тази цел Microsoft представи т.нар. инициатива „Сигурно бъдеще“, за да мобилизира инженерните си екипи да идентифицират и смекчат последиците от наследената инфраструктура, да подобрят процесите и да наложат критерии за сигурност.

„Нашите инженери по сигурността продължават да укрепват всички наши системи срещу атаки и да внедряват още по-стабилни сензори и логове, които да ни помагат да откриваме и отблъскваме кибероръжията на нашите противници“, каза говорителят и добави, че Microsoft ще вземе предвид и всички допълнителни препоръки на съвета.

 

 

 

Източник: DARKReading

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
28/11/2024

Microsoft отхвърля твърдени...

Microsoft отхвърли твърденията, разпространявани онлайн, че...
28/11/2024

Microsoft поправя експлоати...

Във вторник Microsoft информира клиентите си,...
26/11/2024

Северна Корея разполага фал...

Според Microsoft схемата за фалшиви ИТ...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!