Как опытный аналитик по кибербезопасности, я глубоко обеспокоен серией громких нарушений безопасности, с которыми Microsoft столкнулась за последние несколько лет. Инциденты с участием китайской хакерской группы Storm-0558 и спонсируемой российским государством хакерской группы Midnight Blizzard привели к раскрытию конфиденциальных данных нескольких клиентов Azure, включая федеральные агентства США. Эти нарушения подняли серьезные вопросы о культуре безопасности Microsoft и ее способности защитить данные своих клиентов.
Как исследователь, изучающий проблемы безопасности и конфиденциальности Microsoft за последние пару лет, я столкнулся с многочисленными инцидентами, вызывавшими обеспокоенность. Неправильно настроенные конечные точки, несанкционированные сертификаты безопасности и слабые пароли — все это способствовало раскрытию конфиденциальных данных. Последствия этих упущений не остались незамеченными: Microsoft столкнулась с пристальным вниманием со стороны исследователей безопасности, законодателей США и регулирующих органов за то, как она справляется с этими угрозами.
В середине 2023 года печально известная хакерская группа Storm-0558, базирующаяся в Китае, успешно получила несанкционированный доступ к службе Microsoft Azure. В течение примерно месяца эта группа могла собирать данные из сервиса, не будучи обнаруженной. Лишь несколько месяцев спустя Microsoft сделала заявление о том, что несколько нарушений безопасности позволили войти в Storm-0558 через учетную запись инженера. В результате им удалось получить данные от 25 различных клиентов Azure, среди которых были федеральные агентства США.
В январе Microsoft сообщила, что подверглась еще одной утечке данных, на этот раз со стороны российской финансируемой государством хакерской группировки, известной как Midnight Blizzard. Злоумышленникам удалось проникнуть в устаревшую непроизводственную тестовую учетную запись, что позволило им несанкционированный доступ к системам Microsoft примерно на два месяца.
Я был крайне разочарован после прочтения резкого отчета (PDF), опубликованного Советом по обзору кибербезопасности США. Они раскритиковали методы безопасности Microsoft, назвав их неадекватными. В отчете также указываются неточности в публичных заявлениях Microsoft и указываются на предотвратимые нарушения безопасности.
Стремясь обратить вспять недавние проблемы, Microsoft представила «Инициативу безопасного будущего» еще в ноябре 2023 года. В рамках этой инициативы они представили ряд планов и корректировок своих процедур безопасности. Некоторые из этих изменений уже реализованы.
Руководитель Microsoft, отвечающий за безопасность, Чарли Белл, подчеркнул, что безопасность систем является главной задачей Microsoft, превосходящей все другие функции. Чтобы укрепить это обязательство, они расширяют сферу своей инициативы «Состояние будущего безопасности» (SFI). Это расширение включает в себя реализацию последних рекомендаций по кибербезопасности Агентства по кибербезопасности и безопасности инфраструктуры (CSRB), а также учет информации, полученной в результате инцидента Midnight Blizzard, что обеспечивает устойчивость стратегии Microsoft в области кибербезопасности к возникающим угрозам.
Как технический энтузиаст, я рад сообщить, что Microsoft предпринимает значительные шаги по усилению своих мер безопасности. Наряду с этими улучшениями компания представит новую структуру стимулирования для своего высшего руководства. Часть этого плана включает привязку части их вознаграждения к нашей способности достичь целей и контрольных показателей в области безопасности. К сожалению, Сатья Наделла (генеральный директор Microsoft) не предоставил конкретных подробностей о точном проценте заработной платы, который будет связан с этими целями безопасности.
В сообщении Microsoft излагаются три основополагающих принципа безопасности — «безопасность по дизайну», «безопасность по умолчанию» и «безопасность операций» — а также шесть «столпов безопасности». Эти принципы направлены на устранение различных уязвимостей в системах Microsoft и процессах разработки. Организация намерена защитить все учетные записи пользователей с помощью надежной, устойчивой к фишингу многофакторной аутентификации, реализовать доступ с наименьшими привилегиями для каждого приложения и учетной записи, улучшить сетевое наблюдение и сегментацию, а также сохранять журналы безопасности системы в течение как минимум двух лет. Кроме того, Microsoft планирует назначить новых заместителей директоров по информационной безопасности в различных инженерных группах, чтобы следить за их достижениями и соответствующим образом информировать исполнительную команду и совет директоров.
Microsoft предприняла несколько конкретных шагов для повышения безопасности. Среди этих действий они включили автоматическую многофакторную аутентификацию по умолчанию для более чем 1 миллиона клиентов Microsoft Entra ID. Кроме того, они удалили около 730 000 устаревших или небезопасных приложений как у рабочих, так и у корпоративных клиентов. Кроме того, они расширили свои возможности ведения журнала безопасности и приняли стандарт Common Weakness Enumeration (CWE) для раскрытия уязвимостей.
Согласно недавно просочившейся записке генерального директора Microsoft Сатьи Наделлы, полученной и опубликованной The Verge, внимание технологического гиганта к безопасности выходит за рамки его публичных обещаний, данных Bell. Во внутреннем общении Наделла подтверждает ранее заявленную приверженность Microsoft обеспечению безопасности и подчеркивает, что повышение безопасности должно иметь приоритет над внедрением новых функций. Это потенциальное изменение приоритетов может повлиять на частые обновления и модификации, которые Microsoft регулярно выпускает для Windows 11 и другого программного обеспечения.
«Недавние выводы Совета по кибербезопасности (CSRB) Министерства внутренней безопасности относительно кибератаки Storm-0558, произошедшей летом 2023 года, подчеркивают серьезность угроз, с которыми сталкивается наша компания и наши клиенты, а также нашу ответственность за защиту от этих угроз. все более изощренные субъекты угроз», — пишет Наделла. «Если вы столкнулись с выбором между безопасностью и другим приоритетом, ваш ответ ясен: Заботьтесь о безопасности. В некоторых случаях это будет означать, что безопасность будет приоритетнее других вещей, которые мы делаем, таких как выпуск новых функций. или обеспечение постоянной поддержки устаревших систем».
Смотрите также
- Huawei Watch GT 5 против GT 4: стоит ли обновлять свое носимое устройство?
- Huawei Watch GT 5 против GT 5 Pro: какие умные часы выбрать?
- 6 лучших альтернатив iPad в 2024 году
- Есть ли в Google Pixel 8a разъем для наушников?
- Я сделал обзор на Samsung Galaxy A55. Все пошло не так, как ожидалось
- 5 лучших принтеров HP для дома и офиса в 2024 году
- Все, что вам нужно знать о Samsung Galaxy Ring
- Фанаты ужасов ликуйте! Longlegs выйдет в цифровом формате в эту пятницу
- Garmin Enduro 3 против Garmin Enduro 2: стоит ли обновляться?
- Наконец-то я нашел утилиту для игрового ноутбука, которую действительно стоит использовать
2024-05-04 00:56