Как опытный аналитик по кибербезопасности, я глубоко обеспокоен серией громких нарушений безопасности, с которыми Microsoft столкнулась за последние несколько лет. Инциденты с участием китайской хакерской группы Storm-0558 и спонсируемой российским государством хакерской группы Midnight Blizzard привели к раскрытию конфиденциальных данных нескольких клиентов Azure, включая федеральные агентства США. Эти нарушения подняли серьезные вопросы о культуре безопасности Microsoft и ее способности защитить данные своих клиентов.
Как исследователь, изучающий проблемы безопасности и конфиденциальности Microsoft за последние пару лет, я столкнулся с многочисленными инцидентами, вызывавшими обеспокоенность. Неправильно настроенные конечные точки, несанкционированные сертификаты безопасности и слабые пароли — все это способствовало раскрытию конфиденциальных данных. Последствия этих упущений не остались незамеченными: Microsoft столкнулась с пристальным вниманием со стороны исследователей безопасности, законодателей США и регулирующих органов за то, как она справляется с этими угрозами.
В середине 2023 года печально известная хакерская группа Storm-0558, базирующаяся в Китае, успешно получила несанкционированный доступ к службе Microsoft Azure. В течение примерно месяца эта группа могла собирать данные из сервиса, не будучи обнаруженной. Лишь несколько месяцев спустя Microsoft сделала заявление о том, что несколько нарушений безопасности позволили войти в Storm-0558 через учетную запись инженера. В результате им удалось получить данные от 25 различных клиентов Azure, среди которых были федеральные агентства США.
В январе Microsoft сообщила, что подверглась еще одной утечке данных, на этот раз со стороны российской финансируемой государством хакерской группировки, известной как Midnight Blizzard. Злоумышленникам удалось проникнуть в устаревшую непроизводственную тестовую учетную запись, что позволило им несанкционированный доступ к системам Microsoft примерно на два месяца.
Я был крайне разочарован после прочтения резкого отчета (PDF), опубликованного Советом по обзору кибербезопасности США. Они раскритиковали методы безопасности Microsoft, назвав их неадекватными. В отчете также указываются неточности в публичных заявлениях Microsoft и указываются на предотвратимые нарушения безопасности.
Стремясь обратить вспять недавние проблемы, Microsoft представила «Инициативу безопасного будущего» еще в ноябре 2023 года. В рамках этой инициативы они представили ряд планов и корректировок своих процедур безопасности. Некоторые из этих изменений уже реализованы.
Руководитель Microsoft, отвечающий за безопасность, Чарли Белл, подчеркнул, что безопасность систем является главной задачей Microsoft, превосходящей все другие функции. Чтобы укрепить это обязательство, они расширяют сферу своей инициативы «Состояние будущего безопасности» (SFI). Это расширение включает в себя реализацию последних рекомендаций по кибербезопасности Агентства по кибербезопасности и безопасности инфраструктуры (CSRB), а также учет информации, полученной в результате инцидента Midnight Blizzard, что обеспечивает устойчивость стратегии Microsoft в области кибербезопасности к возникающим угрозам.
Как технический энтузиаст, я рад сообщить, что Microsoft предпринимает значительные шаги по усилению своих мер безопасности. Наряду с этими улучшениями компания представит новую структуру стимулирования для своего высшего руководства. Часть этого плана включает привязку части их вознаграждения к нашей способности достичь целей и контрольных показателей в области безопасности. К сожалению, Сатья Наделла (генеральный директор Microsoft) не предоставил конкретных подробностей о точном проценте заработной платы, который будет связан с этими целями безопасности.
В сообщении Microsoft излагаются три основополагающих принципа безопасности — «безопасность по дизайну», «безопасность по умолчанию» и «безопасность операций» — а также шесть «столпов безопасности». Эти принципы направлены на устранение различных уязвимостей в системах Microsoft и процессах разработки. Организация намерена защитить все учетные записи пользователей с помощью надежной, устойчивой к фишингу многофакторной аутентификации, реализовать доступ с наименьшими привилегиями для каждого приложения и учетной записи, улучшить сетевое наблюдение и сегментацию, а также сохранять журналы безопасности системы в течение как минимум двух лет. Кроме того, Microsoft планирует назначить новых заместителей директоров по информационной безопасности в различных инженерных группах, чтобы следить за их достижениями и соответствующим образом информировать исполнительную команду и совет директоров.
Microsoft предприняла несколько конкретных шагов для повышения безопасности. Среди этих действий они включили автоматическую многофакторную аутентификацию по умолчанию для более чем 1 миллиона клиентов Microsoft Entra ID. Кроме того, они удалили около 730 000 устаревших или небезопасных приложений как у рабочих, так и у корпоративных клиентов. Кроме того, они расширили свои возможности ведения журнала безопасности и приняли стандарт Common Weakness Enumeration (CWE) для раскрытия уязвимостей.
Согласно недавно просочившейся записке генерального директора Microsoft Сатьи Наделлы, полученной и опубликованной The Verge, внимание технологического гиганта к безопасности выходит за рамки его публичных обещаний, данных Bell. Во внутреннем общении Наделла подтверждает ранее заявленную приверженность Microsoft обеспечению безопасности и подчеркивает, что повышение безопасности должно иметь приоритет над внедрением новых функций. Это потенциальное изменение приоритетов может повлиять на частые обновления и модификации, которые Microsoft регулярно выпускает для Windows 11 и другого программного обеспечения.
«Недавние выводы Совета по кибербезопасности (CSRB) Министерства внутренней безопасности относительно кибератаки Storm-0558, произошедшей летом 2023 года, подчеркивают серьезность угроз, с которыми сталкивается наша компания и наши клиенты, а также нашу ответственность за защиту от этих угроз. все более изощренные субъекты угроз», — пишет Наделла. «Если вы столкнулись с выбором между безопасностью и другим приоритетом, ваш ответ ясен: Заботьтесь о безопасности. В некоторых случаях это будет означать, что безопасность будет приоритетнее других вещей, которые мы делаем, таких как выпуск новых функций. или обеспечение постоянной поддержки устаревших систем».
Смотрите также
- Концовка «Субстанции» объясняет: что происходит со Сью и Элизабет?
- На фотографии iPhone 16 Pro Max видны удивительно тонкие рамки
- Эта функция Apple Watch сводила меня с ума. Вот как я это исправил
- Что лучше: Dell Latitude или Inspiron?
- Обзор Beyerdynamic DT 770 Pro X Limited Edition – 100 лет звука
- Chick-fil-A планирует запустить стриминговый сервис с оригинальными шоу
- Сатечи Тонкий X3
- Является ли Apple iPhone 16 водонепроницаемым?
- Acer собирается сделать то, чего никогда раньше не делала
- Почему стоит купить iPhone 15 Pro вместо iPhone 15 Pro Max
2024-05-04 00:56