В сряда Майкрософт обяви, че разширява възможностите за регистриране на данни в облака, за да помогне на организациите да разследват инциденти, свързани с киберсигурността, и да получат по-голяма видимост, след като бе подложен на критики след неотдавнашната кампания за шпионски атаки, насочена към инфраструктурата за електронна поща.

Технологичният гигант заяви, че прави промяната в пряк отговор на нарастващата честота и развитието на киберзаплахите от страна на национални държави. Очаква се тя да бъде въведена от септември 2023 г. за всички правителствени и търговски клиенти.

„През следващите месеци ще включим достъп до по-широки логове за сигурност в облака за нашите клиенти по целия свят без допълнителни разходи“, заяви Васу Джакал, корпоративен вицепрезидент по сигурността, съответствието, идентичността и управлението в Microsoft. „Когато тези промени влязат в сила, клиентите ще могат да използват Microsoft Purview Audit за централизирано визуализиране на повече видове лог данни, генерирани в облака в тяхното предприятие.“

Като част от тази промяна се очаква потребителите да получат достъп до подробни логове за достъп до електронна поща и до повече от 30 други типа лог данни, които преди бяха достъпни само на абонаментно ниво Microsoft Purview Audit (Premium). Наред с това производителят на Windows заяви, че удължава периода на съхранение по подразбиране за клиентите на Audit Standard от 90 на 180 дни.

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) приветства този ход, като заяви, че „достъпът до ключови данни от логовете е важен за бързото намаляване на кибератаките“ и че това е „значителна стъпка напред към напредъка на принципите за сигурност чрез проектиране“.

Развитието идва след разкритията, че действаща от Китай заплаха, наречена Storm-0558, е проникнала в 25 организации, като е използвала грешка при валидирането в средата на Microsoft Exchange.

Държавният департамент на САЩ, който е бил една от засегнатите организации, заяви, че е успял да открие злонамерената дейност с пощенските кутии през юни 2023 г. благодарение на подобреното регистриране в Microsoft Purview Audit, по-конкретно с помощта на действието за одит на пощенските кутии MailItemsAccessed, което накара Microsoft да разследва инцидента.

Но други засегнати организации заявиха, че не са успели да открият, че са били пробити, защото не са били абонати на лицензи E5/A5/G5, които се предлагат с повишен достъп до различни видове дневници, които биха били от решаващо значение за разследването на хакерската атака.

Твърди се, че атаките, организирани от извършителя, са започнали на 15 май 2023 г., въпреки че от Редмънд заявиха, че противникът е проявил склонност към OAuth приложения, кражба на токени и атаки за преиграване на токени срещу акаунти на Microsoft поне от август 2021 г. насам.

Междувременно Майкрософт продължава да проучва проникванията, но до момента компанията не е обяснила как хакерите са успели да се сдобият с ключ за подписване на неактивен потребителски акаунт на Майкрософт (MSA), за да фалшифицират токени за удостоверяване и да получат незаконен достъп до имейл акаунти на клиенти, използващи Outlook Web Access в Exchange Online (OWA) и Outlook.com.

„Целта на повечето кампании на Storm-0558 е да се получи неразрешен достъп до имейл акаунти, принадлежащи на служители на целеви организации“, разкри Microsoft миналата седмица.

„След като Storm-0558 получи достъп до желаните потребителски идентификационни данни, влиза в имейл акаунта на компрометирания потребител в облака с валидните идентификационни данни на акаунта. След това събира информация от имейл акаунта чрез уеб услугата“.