Η Microsoft έχει επεκτείνει τις δυνατότητες δωρεάν καταγραφής για όλους
του
ς βασικούς πελάτες του Purview Audit, συμπεριλαμβανομένων των ομοσπονδιακών υπηρεσιών των ΗΠΑ, έξι μήνες μετά την αποκάλυψη ότι Κινέζοι χάκερ έκλεψαν κυβερνητικά μηνύματα ηλεκτρονικού ταχυδρομείου των ΗΠΑ χωρίς να εντοπίζονται σε παραβίαση του Exchange Online μεταξύ Μαΐου και Ιουνίου 2023.
Η εταιρεία συνεργάζεται με την CISA, το Office of Management and Budget (OMB) και το Office of the National Cyber Director (ONCD) από τότε που αποκάλυψε το περιστατικό για να διασφαλίσει ότι οι ομοσπονδιακές
υπηρεσίες
έχουν πλέον πρόσβαση σε όλα τα δεδομένα καταγραφής που απαιτούνται για τον εντοπισμό παρόμοιων επιθέσεις στο μέλλον.
“Από αυτόν τον μήνα, η διευρυμένη καταγραφή θα είναι διαθέσιμη σε όλες τις εταιρείες που χρησιμοποιούν το Microsoft Purview Audit ανεξάρτητα από το επίπεδο άδειας χρήσης”, ένα δελτίο τύπου που εκδόθηκε σήμερα
διαβάζει
.
“Η Microsoft θα ενεργοποιήσει αυτόματα τα αρχεία καταγραφής σε λογαριασμούς πελατών και θα αυξήσει την προεπιλεγμένη περίοδο διατήρησης αρχείων καταγραφής από 90 ημέρες σε 180 ημέρες. Επίσης, αυτά τα δεδομένα θα παρέχουν νέα τηλεμετρία για να βοηθήσουν περισσότερες ομοσπονδιακές υπηρεσίες να ανταποκριθούν στις απαιτήσεις καταγραφής που επιβάλλονται από το Μνημόνιο M-21-31 της OMB. “
Η νέα αλλαγή ευθυγραμμίζεται επίσης με την καθοδήγηση Secure by Design της CISA, η οποία λέει ότι όλοι οι πάροχοι τεχνολογίας θα πρέπει να παρέχουν “υψηλής ποιότητας αρχεία καταγραφής ελέγχου” χωρίς να απαιτείται πρόσθετη διαμόρφωση ή επιπλέον χρεώσεις.
“Το περασμένο καλοκαίρι, ήμασταν ευτυχείς που είδαμε τη δέσμευση της Microsoft να διαθέσει τις απαραίτητες καταγραφές σε ομοσπονδιακές υπηρεσίες και στην ευρύτερη κοινότητα
κυβερνοασφάλεια
ς. Χαίρομαι που έχουμε σημειώσει πραγματική πρόοδο προς αυτόν τον στόχο”, δήλωσε ο Eric Goldstein, Εκτελεστικός Βοηθός Διευθυντής για την Κυβερνοασφάλεια της CISA.
«Κάθε οργανισμός έχει το δικαίωμα στην ασφαλή και ασφαλή τεχνολογία και συνεχίζουμε να σημειώνουμε πρόοδο προς αυτόν τον στόχο».
Λογαριασμοί
Outlook
παραβιάστηκαν για τουλάχιστον 25 οργανισμούς
Τον Ιούλιο, η Microsoft αποκάλυψε ότι μια κινεζική ομάδα hacking που παρακολουθήθηκε καθώς το Storm-0558 είχε πρόσβαση και έκλεψε δεδομένα του Exchange Online Outlook από περίπου 25 οργανισμούς, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών των ΗΠΑ και της Δυτικής Ευρώπης.
Όπως αποκαλύφθηκε αργότερα, οι φορείς απειλών χρησιμοποίησαν ένα κλειδί καταναλωτή λογαριασμού Microsoft (MSA) που κλάπηκε από μια ένδειξη crash των Windows για να δημιουργήσουν διακριτικά ελέγχου ταυτότητας και να αποκτήσουν πρόσβαση σε στοχευμένους λογαριασμούς email μέσω του Outlook Web Access στο Exchange Online (OWA) και το Outlook.com.
Ενώ οι χάκερ απέφευγαν κυρίως τον εντοπισμό, ορισμένες επηρεαζόμενες ομοσπονδιακές υπηρεσίες των ΗΠΑ εντόπισαν την κακόβουλη δραστηριότητα χρησιμοποιώντας βελτιωμένη καταγραφή (δηλ. συμβάντα MailItemsAccessed).
Ωστόσο, αυτές οι προηγμένες δυνατότητες καταγραφής ήταν διαθέσιμες μόνο σε πελάτες με
Έλεγχος Purview της Microsoft (Premium)
άδειες καταγραφής, γεγονός που οδήγησε στο Redmond να αντιμετωπίσει κριτική για παρεμπόδιση των οργανισμών από τον έγκαιρο εντοπισμό των επιθέσεων του Storm-0558.
Μετά την αποκάλυψη του περιστατικού και την πίεση της CISA, η Microsoft συμφώνησε να διευρύνει την πρόσβαση στα δεδομένα καταγραφής δωρεάν για να επιτρέψει στους υπερασπιστές του δικτύου να εντοπίζουν παρόμοιες απόπειρες παραβίασης στο μέλλον.
Μήνες μετά το συμβάν, αξιωματούχοι του Υπουργείου Εξωτερικών των ΗΠΑ αποκάλυψαν ότι οι Κινέζοι χάκερς Storm-0558 έκλεψαν τουλάχιστον 60.000 email από λογαριασμούς του Outlook που ανήκαν σε αξιωματούχους του Στέιτ Ντιπάρτμεντ μετά την παραβίαση της
πλατφόρμα
ς ηλεκτρονικού ταχυδρομείου Exchange Online της Microsoft που βασίζεται στο cloud.
“Η Microsoft δεν αξίζει κανένα έπαινο για την υποχώρηση της πίεσης και την ανακοίνωση ότι δεν θα καταδικάζει πλέον τους πελάτες της για πρόσθετες χρεώσεις για βασικά χαρακτηριστικά όπως τα αρχεία καταγραφής ασφαλείας”, δήλωσε ο Αμερικανός γερουσιαστής Ron Wyden.
είπε στο CyberScoop
σήμερα.
“Όπως ένας εμπρηστής που πουλάει υπηρεσίες πυρόσβεσης, η Microsoft επωφελήθηκε από τα τρωτά σημεία στα δικά της προϊόντα και δημιούργησε μια επιχείρηση ασφάλειας που παράγει δεκάδες δισεκατομμύρια δολάρια ετησίως. Δεν υπάρχει σαφέστερο παράδειγμα της ανάγκης να θεωρηθούν οι εταιρείες λογισμικού υπεύθυνες για την αμέλεια της κυβερνοασφάλειας τους. “
Ενημέρωση 21 Φεβρουαρίου, 21:04 EST:
Το άρθρο και ο τίτλος έχουν αναθεωρηθεί για να υποδεικνύουν με ακρίβεια ότι όλοι οι βασικοί πελάτες του Audit θα έχουν πρόσβαση στη δυνατότητα διευρυμένης καταγραφής.
VIA:
bleepingcomputer.com
