Microsoft anunció el miércoles que está expandiendo las capacidades de registro en la nube para ayudar a las organizaciones a investigar incidentes de seguridad cibernética y obtener más visibilidad después de enfrentar críticas a raíz de una reciente campaña de ataque de espionaje dirigida a su infraestructura de correo electrónico.
El gigante tecnológico dijo que está haciendo el cambio en respuesta directa a la creciente frecuencia y evolución de las amenazas cibernéticas de los estados nacionales. Se espera que se implemente a partir de septiembre de 2023 para todos los clientes gubernamentales y comerciales.
«En los próximos meses, incluiremos acceso a registros de seguridad en la nube más amplios para nuestros clientes en todo el mundo sin costo adicional», Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento, identidad y administración de Microsoft, dicho. «A medida que estos cambios surtan efecto, los clientes pueden usar Microsoft Purview Audit para visualizar de forma centralizada más tipos de datos de registro en la nube generados en toda su empresa».
Como parte de este cambio, se espera que los usuarios reciban acceso a registros detallados de acceso al correo electrónico y más de otros 30 tipos de datos de registro que anteriormente solo estaban disponibles en el nivel de suscripción de Microsoft Purview Audit (Premium). Además de eso, el fabricante de Windows dijo que está extendiendo el período de retención predeterminado para los clientes de Audit Standard de 90 días a 180 días.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dio la bienvenida a la medida, declarando «Tener acceso a datos de registro clave es importante para mitigar rápidamente las intrusiones cibernéticas» y es «un paso significativo hacia el avance de la seguridad mediante principios de diseño».
El desarrollo viene después de revelaciones que un actor de amenazas que opera desde China, denominado Storm-0558, violó 25 organizaciones al explotar un error de validación en el entorno de Microsoft Exchange.
El Departamento de Estado de EE. UU., que fue una de las entidades afectadas, dijo que pudo detectar la actividad maliciosa del buzón en junio de 2023 debido al inicio de sesión mejorado en Microsoft Purview Audit, específicamente usando el Elementos de correo accedidos acción de auditoría de buzón, lo que llevó a Microsoft a investigar el incidente.
Pero otras organizaciones afectadas dijeron que no pudieron detectar que fueron violadas porque no eran suscriptores de las licencias E5/A5/G5, que vienen con acceso elevado a varios tipos de registros que serían cruciales para investigar el ataque.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Se dice que los ataques montados por el actor comenzaron el 15 de mayo de 2023, aunque Redmond dijo que el adversario ha mostrado una propensión a las aplicaciones OAuth, el robo de tokens y los ataques de repetición de tokens contra cuentas de Microsoft desde al menos agosto de 2021.
Mientras tanto, Microsoft continúa investigando las intrusiones, pero hasta la fecha la compañía no ha explicado cómo los piratas informáticos pudieron adquirir una clave de firma de consumidor de cuenta de Microsoft (MSA) inactiva para falsificar tokens de autenticación y obtener acceso ilícito a cuentas de correo electrónico de clientes usando Outlook Web Access en Exchange Online (OWA) y Outlook.com.
«El objetivo de la mayoría de las campañas de Storm-0558 es obtener acceso no autorizado a cuentas de correo electrónico pertenecientes a empleados de organizaciones específicas», reveló Microsoft la semana pasada.
«Una vez que Storm-0558 tiene acceso a las credenciales de usuario deseadas, el actor inicia sesión en la cuenta de correo electrónico en la nube del usuario comprometido con las credenciales de cuenta válidas. Luego, el actor recopila información de la cuenta de correo electrónico a través del servicio web».