Microsoft Çarşamba günü, e-posta altyapısını hedef alan yakın tarihli bir casusluk saldırısı kampanyasının ardından eleştirilerle karşılaşan kuruluşların siber güvenlik olaylarını araştırmasına ve daha fazla görünürlük kazanmasına yardımcı olmak için bulut günlüğü yeteneklerini genişlettiğini duyurdu.
Teknoloji devi, değişikliği ulus devlet siber tehditlerinin artan sıklığına ve gelişimine doğrudan yanıt olarak yaptığını söyledi. Eylül 2023’ten itibaren tüm devlet ve ticari müşterilerin kullanımına sunulması bekleniyor.
Microsoft’ta güvenlik, uyumluluk, kimlik ve yönetimden sorumlu kurumsal başkan yardımcısı Vasu Jakkal, “Önümüzdeki aylarda, dünya çapındaki müşterilerimiz için ek bir ücret ödemeden daha geniş bulut güvenlik günlüklerine erişim sunacağız” dedi. söz konusu. “Bu değişiklikler yürürlüğe girdikçe müşteriler, kuruluşları genelinde oluşturulan daha fazla türde bulut günlüğü verisini merkezi olarak görselleştirmek için Microsoft Purview Denetimini kullanabilir.”
Bu değişikliğin bir parçası olarak, kullanıcıların ayrıntılı e-posta erişimi günlüklerine ve daha önce yalnızca Microsoft Purview Denetim (Premium) abonelik düzeyinde mevcut olan 30’dan fazla başka türde günlük verisine erişmesi bekleniyor. Bunun da ötesinde, Windows üreticisi, Audit Standard müşterileri için varsayılan saklama süresini 90 günden 180 güne uzattığını söyledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) hareketi memnuniyetle karşıladı, belirten “anahtar günlük verilerine erişime sahip olmak, siber saldırıları hızla azaltmak için önemlidir” ve “tasarım ilkelerine göre güvenliği ilerletmeye yönelik önemli bir adımdır.”
Gelişme sonrasında gelir açıklamalar Çin dışında faaliyet gösteren Storm-0558 adlı bir tehdit aktörünün, Microsoft Exchange ortamındaki bir doğrulama hatasından yararlanarak 25 kuruluşa sızması.
Etkilenen kuruluşlardan biri olan ABD Dışişleri Bakanlığı, Microsoft Purview Audit’te gelişmiş günlük kaydı sayesinde, özellikle Posta Öğelerine Erişildi Microsoft’tan olayı araştırmasını isteyen posta kutusu denetleme eylemi.
Ancak etkilenen diğer kuruluşlar, hack’i araştırmak için çok önemli olacak çeşitli günlük türlerine yükseltilmiş erişimle gelen E5/A5/G5 lisanslarının abonesi olmadıkları için ihlal edildiğini tespit edemediklerini söylediler.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Aktör tarafından düzenlenen saldırıların 15 Mayıs 2023’te başladığı söyleniyor, ancak Redmond, rakibin en az Ağustos 2021’den beri Microsoft hesaplarına karşı OAuth uygulamaları, jeton hırsızlığı ve jeton yeniden oynatma saldırıları için bir eğilim sergilediğini söyledi.
Bu arada Microsoft izinsiz girişleri araştırmaya devam ediyor, ancak bugüne kadar şirket, bilgisayar korsanlarının Exchange Online (OWA) ve Outlook.com’da Outlook Web Access’i kullanarak kimlik doğrulama belirteçleri oluşturmak ve müşteri e-posta hesaplarına yasa dışı erişim elde etmek için etkin olmayan bir Microsoft hesabı (MSA) tüketici imzalama anahtarını nasıl ele geçirdiklerini açıklamadı.
Microsoft geçen hafta “Storm-0558 kampanyalarının çoğunun amacı, hedeflenen kuruluşların çalışanlarına ait e-posta hesaplarına yetkisiz erişim elde etmektir” dedi.
“Storm-0558, istenen kullanıcı kimlik bilgilerine eriştiğinde, aktör, güvenliği ihlal edilmiş kullanıcının bulut e-posta hesabında geçerli hesap kimlik bilgileriyle oturum açar. Ardından, aktör, web hizmeti üzerinden e-posta hesabından bilgi toplar.”