Federal bir inceleme kurulu, Microsoft’u bulut güvenliğine yönelik yaklaşımına öncelik vermeye ve bir kriz sonrasında bu yükü müşterilerin sırtına yüklemeye son vermeye çağırdı. Temmuz 2023 siber saldırısı Çinli tehdit aktörlerinin önemli bilgileri gözetlemek için Microsoft 365 hesaplarını ihlal etmesine olanak sağlayan ABD hükümet yetkilileri.
Rapor Bağımsız İç Güvenlik Bakanlığı (DHS) Siber Güvenlik İnceleme Kurulu tarafından 2 Nisan’da yayımlanan bir raporda Microsoft’un güvenlik kültürüne yönelik kışkırtıcı bir inceleme önerildi. doğrudan şirket üzerinde ve “güvenlik başarısızlıkları dizisi” siber casusluk saldırısı Çin merkezli tehdit grubu Storm-0558 tarafından “asla gerçekleşmemesi gereken” bir olay gerçekleşti.
İhlalleri araştıran kurul emriyle Başkan Joe Biden, teknoloji devinden siber güvenliği gündeminin en üst sıralarına koymasını talep etti. Ayrıca bulut güvenliği konumunda önemli revizyonlar yapma konusunda da sıkı bir hesaba sahip olmalı, hatta bu değişikliklere yeni ürün özellikleri ve geliştirmelerden önce öncelik verilmelidir.
“Microsoft içinde ihtiyaç duyulan hızlı kültürel değişimi yönlendirmek için yönetim kurulu, Microsoft müşterilerinin CEO’su ve Yönetim Kurulu’nun doğrudan şirketin güvenlik kültürüne odaklanmasından ve güvenliği temel bir hale getirmek için belirli zaman çizelgeleri içeren bir plan geliştirip kamuya açık bir şekilde paylaşmasından yararlanacağına inanıyor. Raporda yetkililer, “Şirket genelinde ve tüm ürün yelpazesinde odaklı reformlar” dedi.
Ürün Yeniliğinden Önce Güvenliği Öne Çıkarın
İncelemenin bir parçası olarak yönetim kurulu, bu amaca yönelik bir dizi öneride bulundu; üst düzey yöneticilerin yalnızca bu planı geliştirmekle kalmayıp aynı zamanda şirket genelinde her düzeydeki liderleri bu planı uygulamaktan sorumlu tutması da dahil.
Kurul, Microsoft liderliğinin aynı zamanda dahili Microsoft ekiplerini “önemli güvenlik iyileştirmeleri yapılana kadar şirketin bulut altyapısı ve ürün paketindeki özellik geliştirmelerine öncelik vermemeye” yönlendirmeyi, bunun yerine herhangi bir yeni özelliği dağıtmadan önce güvenliği değerlendirip ele almayı düşünmesi gerektiği sonucuna vardı.
Microsoft’un bulut tabanlı hizmetlerinin ve altyapısının güvenliğine olan bağımlılık göz önüne alındığında, yazılım devinin ve diğer CSP’lerin de müşterilerinin güvenlik sonuçları konusunda genel olarak daha fazla sorumluluk alması gerekiyor. Bu listenin başındaki eylem öğesi, müşterilerin güvenlikle ilgili günlük kaydı için ödeme yapma uygulamasını durdurmak ve bunu ekstra ücret karşılığında bir eklenti hizmeti yerine bulut tekliflerinin “temel öğesi” haline getirmektir.
Microsoft zaten yumuşadı ve düşen ücretler etkili bir şekilde vergi uyguladığına dair şikayetlerin ardından ihlalden kısa bir süre sonra 365 lisans sahibinin tüm seviyeleri için genişletilmiş günlük kaydı erişimiyle ilişkili kayıt vergisi müşteriler üzerinde.
Bu Microsoft’ta
Kurulun genel bulgusu, Storm-0558’in ihlal edilmesine izin veren ihlalin suçu olduğu yönünde. e-posta hesaplarına erişim kazanın Batı Avrupa ve ABD’deki 25 devlet kurumunda – yalnızca Microsoft’a aittir ve doğrudan şirketin bir dizi güvenlik hatasından kaynaklanmaktadır.
İhlalin etkileri ilk tespitten sonraki haftalarda yoğunlaştıkça, Microsoft en sonunda Eylül 2023’te sahip olunan Storm-0558’in, kurumsal e-posta hesaplarına erişim için Azure AD belirteçlerini oluşturmak üzere Microsoft hesabı (MSA) tüketici imzalama anahtarını kullanmasına yol açan bir dizi hataya yol açtı. MSA tüketici anahtarları genellikle Outlook.com, OneDrive ve Xbox Live gibi bir Microsoft tüketici uygulamasında veya hizmetinde kriptografik olarak oturum açmak için kullanılır.
Şirket o sırada bir yarış koşulunun imzalama anahtarının ya bir çökme dökümünde ya da çöken sistemin anlık görüntüsünde bulunmasına yol açtığını söyledi. Anahtar, sonunda Microsoft’un İnternet bağlantılı kurumsal ağındaki hata ayıklama ekibine ulaştı ve tehdit aktörleri muhtemelen onu yakaladı.
Ancak hükümet yetkilileri, şirketin müşteri olduğu için “kriptografik mücevherlerinin tek başına” tehlikeye atıldığını tespit edememesi nedeniyle yöneticilerin ayaklarını ateşe tuttu. insan hakları örgütü DSÖ erişimi yoktu gelişmiş bulut güvenliği kayıtlarına geçiş; bu, şirketi olası bir soruna karşı ilk kez uyardı.
Üstelik Microsoft, saldırganlar tarafından kullanılan anahtarın herhangi bir kilitlenme dökümü veya anlık görüntüye ulaştığını hiçbir zaman kanıtlamadı ve bunun temel neden olduğunu iddia eden ifadeleri “zamanında” düzeltme konusunda başarısız oldu. Aslında Microsoft, anahtarın Storm-0558’in eline nasıl geçtiğine dair hikayesini geçen aya kadar değiştirmemişti. onun blog yazısı ve anahtarı içeren bir kilitlenme dökümü asla bulamadığını kabul etti.
Son olarak kurul, Microsoft’un bulut güvenliği konusunda diğer bulut hizmet sağlayıcılarıyla (CSP’ler) karşılaştırıldığında genellikle gevşek davrandığını ve güvenlik kontrollerini benzer bir standartta tutamadığını tespit etti. Her yerde kullanılan ürünlerinin “ulusal güvenliği, ekonomimizin temellerini ve kamu sağlığı ve güvenliğini destekleyen temel hizmetleri desteklediği” ve bunun da Microsoft’un “en yüksek güvenlik ve hesap verebilirlik standartlarını” göstermesini gerektirdiği göz önüne alındığında, şirketin derhal seviye atlaması gerekiyor. ve şeffaflık,” diye bitirdi yetkililer.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi.