الملخص
- لم يتغلب Storm-0558 على ضوابط كلمة المرور لوكالة فيدرالية. بل استخدم مفتاح توقيع استهلاكي من Microsoft لتصنيع رموز هوية تبدو صالحة، ثم استفاد من عيب في التحقق من Microsoft سمح لهذه الرموز الموقعة من مستهلك بالوصول إلى صناديق البريد Exchange Online للمؤسسة.
- لا يزال مسار الحصول على المفتاح دون حل. تم لاحقًا تقليص تفسير تفريغ الأعطال لشهر سبتمبر 2023 من Microsoft إلى فرضية رئيسية بعد أن اعترفت الشركة بعدم العثور على تفريغ يحتوي على المفتاح أو سجلات تثبت التسريب. المفتاح القديم، وعيب التحقق عبر الحدود، وضعف اكتشاف شذوذ الرموز، والاحتفاظ المحدود بالأدلة هي استنتاجات فشل مدعومة بشكل أفضل.
- المسؤولية تتبع القدرة على التحكم. Microsoft وحدها يمكنها تدوير مفتاح المنصة، وإصلاح المحقق في جانب الخدمة، واكتشاف مجموعات الرموز المستحيلة في سحابتها، والحفاظ على الأدلة الداخلية ذات الصلة، وإغلاق ناقل الهجوم. يمكن للعملاء تحسين المراقبة والاستجابة، ولكن في عام 2023، كان القياس الحاسم MailItemsAccessed مرتبطًا بتراخيص E5/G5 الأكثر تكلفة.
فشل في التحكم بالهوية، وليس اختراقًا تقليديًا لصندوق البريد
يمكن تلخيص اختراق Storm-0558 بسهولة في جملة مألوفة: قراصنة صينيون سرقوا مفتاح Microsoft وقرأوا رسائل البريد الإلكتروني الحكومية. هذه الجملة صحيحة تقريبًا ولكنها غير كافية تحليليًا. إنها تدمج في حدث واحد فعل المهاجم، وفقدان Microsoft غير المحلول للمواد التشفيرية، وعيب برمجي منفصل في التحقق، وقرار دورة حياة لمفتاح قديم، ونجاح اكتشاف من جانب العميل، واستجابة مزود الخدمة. بمجرد فصل هذه الآليات، يصبح توزيع المسؤوليات أكثر وضوحًا.
لم يكن الاختراق في المقام الأول حالة استسلام موظف حكومي لكلمة مرور، أو وكالة لم تنشر المصادقة متعددة العوامل، أو خادم غير مصحح داخل وزارة. امتلك Storm-0558 الجزء الخاص من مفتاح توقيع استهلاكي لحساب Microsoft (MSA) تم إنشاؤه في عام 2016. يسمح مفتاح التوقيع الخاص لحامله بإنتاج رموز يمكن التحقق من توقيعاتها مقابل المفتاح العام المقابل. وبالتالي، يمكن للجهة ادعاء هويات دون الحصول على كلمات مرور الضحايا. سمح عيب ثانٍ من Microsoft لمفتاح مخصص للحسابات الاستهلاكية بتوثيق الطلبات ضد Exchange Online للمؤسسات. وكانت النتيجة قدرة على انتحال الهوية على مستوى المنصة عبرت الحدود بين أنظمة الهوية الاستهلاكية والتنظيمية لـ Microsoft.
يشرحالتحليل الفني لـ Microsoft في يوليو 2023الآلية الأساسية: قامت الجهة بتزوير رموز Azure Active Directory باستخدام المفتاح الاستهلاكي الذي تم الحصول عليه، واستخدمت تدفقًا شرعيًا لـ Outlook Web Access، وحصلت على رموز Exchange Online عبر واجهة GetAccessTokenForResource، واسترجعت رسائل البريد الإلكتروني عبر واجهة برمجة تطبيقات OWA. صرحت Microsoft أن عيبًا في التصميم سمح أيضًا للجهة بالحصول على رموز وصول جديدة من خلال تقديم رمز تم إصداره سابقًا عبر هذه الواجهة. لم يكن مجرد إعادة تشغيل لبيانات اعتماد مسروقة. بل كان تصنيعًا وتجديدًا غير مصرح به لبيانات اعتماد تعاملتها خدمات Microsoft على أنها صالحة.
التمييز مهم لمسؤولية السحابة. يظل العملاء مسؤولين بشكل عام عن هوياتهم، ونظافة أجهزتهم، والأذونات، وتكوين التطبيقات، والاستجابة للحوادث. لكن لا يمكن للعميل فحص أو تدوير مواد التوقيع الجذرية لمزود السحابة، أو إصلاح محقق الرموز الإنتاجي للمزود، أو نشر كاشف داخل مستوى إصدار هوية المزود. عندما يأتي الفشل من عناصر تحكم متاحة فقط للمزود، فإن وصف الحدث كمشكلة مسؤولية مشتركة دون تحديد من كان يتحكم في أي ضمانة يحجب أكثر مما يشرح.
من المهم أيضًا عدم تصنيف الحدث كعطل في الخدمة. لا يُظهر الملف العام أن Exchange Online أصبح غير متاح للوكالات المتأثرة. كان الضرر فقدان الخصوصية واتصالات الثقة، متبوعًا بعبء تحقيق كبير. تشمل استمرارية القطاع العام أكثر من مجرد الحفاظ على إمكانية الوصول إلى الخدمة. يعتمد العمل الدبلوماسي والاقتصادي والتشريعي والأمن القومي على قدرة المسؤولين على استخدام نظام اتصالات دون أن يقرأه خصم بصمت. يمكن أن تظل السحابة "قيد التشغيل" تقنيًا بينما تصبح الوظيفة العامة التي تدعمها أقل موثوقية.
ما هو ثابت، وما هو مستنتج، وما لا يزال مجهولاً
يجب أن تظل ثلاث فئات من الأدلة منفصلة.
أولاً، يثبت الملف العام بشكل قاطع أن Storm-0558 استخدم مفتاح توقيع استهلاكي MSA تم إنشاؤه بواسطة Microsoft في عام 2016 لتزوير الرموز؛ وأن عيبًا في التحقق من Microsoft سمح لهذه الرموز بالوصول إلى حسابات Exchange Online للمؤسسات؛ وأن وزارة الخارجية وجدت نشاطًا مشبوهًا بفضل سجلات وصول محسنة إلى صناديق البريد؛ وأن Microsoft خففت من التقنية المعروفة من خلال سلسلة من التعديلات في جانب الخدمة. تتقارب إفصاحات Microsoft، وتنبيه استجابة CISA، وتصريحات الوكالات المتأثرة، وإعادة بناء مجلس مراجعة السلامة السيبرانية على هذه النقاط.
ثانيًا، قام مجلس مراجعة السلامة السيبرانية (CSRB) بإجراء استنتاجات حول قابلية المنع، وتصميم الضوابط، وثقافة الأمان، والإفصاح، والممارسة الصناعية.مراجعته الشاملة لاختراق صيف 2023خلص إلى أن الحادث كان يمكن منعه ولم يكن ينبغي أن يحدث أبدًا. أجرى المجلس مقابلات مع 20 منظمة، وتلقى تعاون Microsoft، وقارن الضوابط لدى مزودي خدمات سحابية كبار آخرين، ووجد سلسلة من الإخفاقات التي يمكن منعها. هذه استنتاجات مراجعة مستقلة، وليست استنتاجات قضائية، لكنها أقوى بشكل كبير من التعليقات المستندة فقط إلى مدونات Microsoft الأولى.
ثالثًا، لا يزال المسار الفعلي الذي حصل من خلاله Storm-0558 على المفتاح الخاص لعام 2016 غير معروف في الملف العام. هذا عدم اليقين مركزي. نشرت Microsoft قصة مفصلة عن تفريغ الأعطال في سبتمبر 2023، ثم أضافت تصحيحًا في مارس 2024 يشير إلى أنها لم تعثر على تفريغ يحتوي على مواد المفتاح المتأثرة. أفاد CSRB أن Microsoft استكشفت 46 فرضية لسرقة المفتاح وما زالت لا تعرف كيف أو متى حصلت الجهة على المفتاح. أي رواية تقدم تفريغ الأعطال كسبب جذري مثبت تبالغ في الأدلة.
كما لا يثبت الملف توزيعًا قانونيًا نهائيًا للخسائر. مراجعة الكونغرس، وطلبات التحقيق، وقبول Microsoft لنتائج CSRB ذات صلة بالمسؤولية. لا تحل محل حكم محكمة، أو قرار إنفاذ وكالة، أو تفسير تعاقدي، أو تحليل كمي للضرر. الاستنتاج المناسب أضيق: سيطرت Microsoft على عدة ضمانات فاشلة وقبلت المسؤولية عن المشكلات التي ذكرها CSRB؛ لا تثبت المصادر المتاحة مسؤولية مدنية أو جنائية أو تنظيمية نهائية.
التسلسل الزمني للأدلة الجنائية
2016-2021: مفتاح طويل الأمد وهجرة مؤجلة
أنشأت Microsoft مفتاح التوقيع الاستهلاكي في عام 2016. عمر المفتاح ليس في حد ذاته دليلاً على انعدام الأمان، لكن عمر المفتاح يصبح جوهريًا عندما لا تستطيع مؤسسة إثبات الحفظ المستمر بثقة وعندما يحد التدوير من العمر الإنتاجي للمواد المسروقة. وجد CSRB أن نظام MSA الاستهلاكي لـ Microsoft اعتمد على التدوير اليدوي، بينما تحول نظام الهوية المؤسسية نحو الأتمتة. كانت الشركة تعتزم ترحيل النظام الاستهلاكي إلى التكنولوجيا الآلية لكنها لم تكمل هذا العمل قبل الاختراق.
وفقًا لـ CSRB، أوقفت Microsoft التدوير اليدوي لمفاتيح التوقيع الاستهلاكية في عام 2021 بعد انقطاع كبير في السحابة مرتبط بالعملية اليدوية. ثم لم تنشر بديلاً آليًا للتدوير أو تنبيهًا يخبر الفرق المسؤولة عن المفاتيح النشطة المتقادمة. لذلك ظل مفتاح 2016 مقبولاً في عام 2023. هذا قرار كلاسيكي بين التوفر والأمان بتكلفة مؤجلة خفية: يمكن أن يؤدي تعليق إجراء يدوي محفوف بالمخاطر إلى تقليل خطر الانقطاع الفوري، لكن ترك الأتمتة التعويضية غير مكتملة يحافظ على التعرض الأمني إلى أجل غير مسمى.
استنتاج المجلس أكثر فائدة من مجرد القول بأن المفتاح "المنتهي صلاحيته" عمل. يتم قبول المفتاح أو رفضه بناءً على تكوين الثقة المباشر للخدمة. كان الفشل الحاسم هو أن مفتاحًا كان من المفترض سحبه ظل في مجموعة الثقة.إرشادات تدوير مفاتيح التوقيع الحالية من Microsoftتقول إن التطبيقات يجب أن تدير التدوير الدوري والطارئ برمجيًا وتوصي بمكتبات قياسية لتجنب العيوب الدقيقة. تصف هذه الإرشادات سلوك التحقق من جانب العميل، لكن المبدأ الأساسي ينطبق على نطاق أوسع: يجب أن يكون استبدال المفاتيح قدرة مصممة، وليس طقوسًا هشة تصبح محفوفة بالمخاطر للغاية بحيث لا يمكن تنفيذها.
في سبتمبر 2018، قدمت Microsoft نقطة نهاية مشتركة لنشر بيانات تعريف المفتاح استجابة لطلب التطبيقات التي تخدم كلاً من المستخدمين الاستهلاكيين والمؤسسيين. أشارت الرواية اللاحقة لـ Microsoft إلى أنه تم تحديث التوثيق لشرح التحقق من نطاق المفتاح، لكن لم يتم تحديث المكتبات الداعمة لفرض هذا النطاق تلقائيًا. بدأت أنظمة البريد Exchange في استخدام نقطة نهاية البيانات الوصفية المشتركة في عام 2022. افترض المطورون أن المكتبة تقوم بالتحقق الكامل ولم يضيفوا التحقق المطلوب من المصدر أو النطاق. لذلك، زادت نقطة النهاية المشتركة من قابلية التشغيل البيني مع خلق خطر على حدود الثقة: تم الخلط بين الصلاحية التشفيرية والتفويض في مجال الهوية الصحيح.
تضع إعادة بناء CSRB حدثًا آخر ذا صلة في عام 2021. اخترق Storm-0558 شبكة مؤسسة Microsoft من خلال حساب مهندس بين أبريل وأغسطس. كان المهندس يعمل لصالح Affirmed Networks، التي استحوذت عليها Microsoft في عام 2020؛ اعتقدت Microsoft أن الجهاز قد تم اختراقه قبل الاستحواذ ثم اتصل ببيئة Microsoft ببيانات اعتماد مؤسسية. التقطت الجهة وأعادت تشغيل رمز مصادقة ووصلت إلى مواد في SharePoint، بما في ذلك معلومات تتعلق بإدارة خدمات Azure والهوية. انتقد المجلس Microsoft لعدم اكتشاف الجهاز المخترق للشركة المستحوذ عليها قبل السماح له على شبكة المؤسسة.
هذا الاختراق في 2021 هو دليل على وصول المهاجم واهتمامه. إنه ليس دليلاً على أن الجهة حصلت على مفتاح MSA لعام 2016 في ذلك الوقت. قالت Microsoft للمجلس إن اختراق 2021 ربما كان مرتبطًا لأنه كان الاختراق الآخر الوحيد المعروف لـ Storm-0558 في شبكة Microsoft في الذاكرة المسجلة، لكن الشركة لم تقدم أي دليل محدد يربطه بسرقة المفتاح. يجب أن تحافظ الرواية المنضبطة على هذه الفجوة.
مايو-يونيو 2023: يبدأ الوصول قبل أن يكتشفه المزود
أنشأ Storm-0558 بنية تحتية خارجية محددة وبدأ في الوصول إلى حسابات Exchange Online المستهدفة اعتبارًا من 15 مايو 2023. حذر CSRB من أن نافذة الاختراق ربما بدأت في وقت سابق لأن الاحتفاظ القياسي لمدة 30 يومًا لسجلات Microsoft حد من النظرة الرجعية المتاحة بمجرد بدء التحقيق. لذلك فإن "الملاحظة الأولى" هي حد إثباتي، وليست بالضرورة البداية الحقيقية للهجوم.
عكست الأهداف أولويات التجسس. حدد العدد النهائي لـ CSRB 22 منظمة وأكثر من 500 فرد حول العالم، بما في ذلك ضحايا في الولايات المتحدة والمملكة المتحدة وأماكن أخرى. شملت الحسابات وزيرة التجارة Gina Raimondo، والسفير الأمريكي في الصين R. Nicholas Burns، ومساعد وزير الخارجية لشؤون شرق آسيا والمحيط الهادئ Daniel Kritenbrink، والنائب Don Bacon. كانإشعار الحادث الأولي من Microsoft في 11 يوليويشير إلى حوالي 25 منظمة وحسابات استهلاكية مرتبطة. من الأفضل معالجة الفرق كتغيير في محاسبة الحادث بين الإشعار الأولي للشركة وإعادة البناء المستقلة اللاحقة، وليس كدليل على اختراق جديد.
وزارة الخارجية، وليس Microsoft، اكتشفت الحملة. في 15 يونيو، لاحظ مركز عمليات الأمن التابع للوزارة حالات شاذة. في 16 يونيو، أنتجت قاعدة مخصصة معروفة داخليًا باسم Big Yellow Taxi تنبيهات من حدث التدقيق MailItemsAccessed، الذي يسجل الوصول إلى عناصر صندوق بريد Exchange Online. حققت الوزارة على الرغم من احتمال وجود نتائج إيجابية خاطئة واتصلت بـ Microsoft في ذلك اليوم. بحلول 19 يونيو، قررت الوزارة أنه تم الوصول إلى ستة حسابات، بما في ذلك حسابات مرتبطة بالتحضيرات لسفر وزير الخارجية إلى بكين. حددت ستة حسابات إضافية تم الوصول إليها بين 21 و24 يونيو وآخر من خلال تحليل خادم خاص افتراضي تم الاستيلاء عليه.
تظهر التواريخ أن الاكتشاف والاحتواء تزامنا مع الوصول الجاري. كان تنبيه الوزارة نجاحًا في الكشف، لكنه لم يكشف فورًا عن معرف منصة مزور. قامت Microsoft أولاً بفحص تفسيرات مألوفة مثل الأجهزة المخترقة والرموز الصادرة بشكل صحيح والمسروقة. ثم رأى محللوها أن عناصر مصادقة Exchange Online لا تتطابق مع رموز Azure AD في السجلات المتوقعة. في حوالي 26 يونيو، حددت Microsoft أن الجهة كانت تستخدم المفتاح الاستهلاكي لعام 2016 لإنشاء رموز تعمل ضد البريد الإلكتروني الاستهلاكي والمؤسسي.
التنبيه المشترك CISA-FBI AA23-193Aمباشر بشكل غير معتاد في توزيع قدرات التخفيف. ينص على أن جميع إجراءات التخفيف لهذا النشاط كانت مسؤولية Microsoft لأن البنية التحتية المتأثرة كانت قائمة على السحابة. ينص أيضًا على أن الوكالات لم تكن على علم بسجلات تدقيق أو أحداث أخرى كانت ستكشف النشاط. اكتشف العميل الحادث، لكن المزود وحده يمكنه إغلاق التقنية.
26 يونيو-3 يوليو: تخفيف تدريجي بدلاً من مفتاح واحد
يسجل التسلسل الزمني المفصل من Microsoft عدة إجراءات متميزة:
- في 26 يونيو، توقف OWA عن قبول الرموز الصادرة عن GetAccessTokenForResource للتجديد، مما أغلق سلوك التجديد الذي أساءت الجهة استخدامه.
- في 27 يونيو، منعت Microsoft استخدام OWA للرموز الموقعة بالمفتاح MSA الذي تم الحصول عليه، مما منع أي وصول إضافي إلى البريد الإلكتروني للمؤسسات عبر المسار المرصود.
- في 29 يونيو، أكملت Microsoft استبدال المفتاح، وألغت جميع مفاتيح توقيع MSA التي كانت صالحة أثناء الحادث، وأصدرت مفاتيح جديدة من أنظمة معززة.
- في 3 يوليو، منعت Microsoft استخدام المفتاح للعملاء الاستهلاكيين المتأثرين لمنع استخدام الرموز الصادرة سابقًا.
يوضح هذا التسلسل لماذا "تم إلغاء المفتاح" ليس وصفًا كافيًا للاحتواء. قد تتضمن حملة الرموز المزورة بيانات تعريف التحقق المخزنة مؤقتًا، وعناصر وصول لاحقة، وواجهات تجديد، وخدمات استهلاكية ومؤسسية، ورموز صادرة بالفعل. يتطلب الاحتواء الدائم رسم خريطة لكل مكان يبقى فيه قرار الثقة القديم.
صرحت Microsoft أنها لاحظت Storm-0558 يتحول إلى التصيد وتقنيات أخرى بعد إغلاق مسار تزوير الرموز المعروف، ولم تر أي نشاط آخر مرتبط بالمفتاح. وهذا يدعم فعالية التخفيفات الفورية ضد الطريقة المرصودة. لا يثبت أنه تم تحديد مسار الاستحواذ الأصلي أو أن الجهة لم تحصل أبدًا على مواد حساسة أخرى. صرح CSRB صراحةً أن احتمال الوصول إلى مفاتيح وبيانات أخرى لا يزال دون حل.
يوليو 2023-مارس 2024: الإفصاح، إصلاح التسجيل، وتصحيح السبب الجذري
أفصحت Microsoft علنًا عن الحملة في 11 يوليو ونشرت تحليلاً تقنيًا أكثر تعمقًا في 14 يوليو. وصفت مقالاتها الأولى بشكل صحيح إساءة استخدام المفتاح وخطأ التحقق مع الإشارة إلى أن الاستحواذ على المفتاح لا يزال قيد التحقيق. في 19 يوليو، بعد التنسيق مع CISA، أعلنت Microsoft أن سجلات الوصول التفصيلية إلى البريد الإلكتروني وأكثر من 30 نوعًا آخر من أحداث التدقيق ستكون متاحة لعملاء المستوى القياسي دون تكلفة إضافية. كما صرحت الشركة أن فترة الاحتفاظ الافتراضية للتدقيق القياسي ستزيد من 90 إلى 180 يومًا.إعلان التسجيل من Microsoftهو استجابة جوهرية لأنه يغير من يمكنه رؤية الأدلة اللازمة لاكتشاف إساءة الاستخدام القادمة من المزود.
في 6 سبتمبر، نشرت Microsoft ما أسمته نتائج تحقيقاتها التقنية الرئيسية. زعمت الرواية الأصلية أن تعطل نظام التوقيع الاستهلاكي في أبريل 2021 أنتج تفريغًا للطوارئ؛ وأن حالة سباق سمحت للمفتاح بالدخول إلى التفريغ؛ وأن التفريغ انتقل من بيئة إنتاج معزولة إلى بيئة تصحيح أخطاء مؤسسية متصلة بالإنترنت؛ وأن ماسحات بيانات الاعتماد فاتتها؛ وأن Storm-0558 اخترق لاحقًا حساب مهندس لديه حق الوصول إلى تلك البيئة. نظرًا لأن السجلات ذات الصلة كانت قد انتهت، أطلقت Microsoft على هذه الآلية اسم آلية الاستحواذ الأكثر احتمالية.
قدمت هذه الرواية سلسلة متماسكة، لكن السلسلة لم تكن مدعومة بأدلة مباشرة. يبدأتقرير سبتمبر المُنقَّح من Microsoftالآن بتحديث من 12 مارس 2024. تقول الشركة إن فرضيتها الرئيسية تظل أن الأخطاء التشغيلية تسببت في خروج مواد المفتاح من بيئة التوقيع الآمنة وأن المواد تم الوصول إليها عبر حساب مهندس مخترق. وتقول أيضًا إنها لم تجد تفريغًا للطوارئ يحتوي على المفتاح المتأثر، وأن حالة السباق المذكورة أثرت على ما إذا كان يمكن للتفريغ مغادرة بيئة التوقيع وليس على ما إذا كانت مواد المفتاح يمكن أن تكون موجودة، وأن إزالة هذه المواد لم تكن عملية قياسية ولكنها لم تكن محظورة في ذلك الوقت.
يغير التصحيح الوضع المعرفي للرواية. الفرضية المعقولة ليست استنتاجًا جذريًا. أفاد CSRB أن Microsoft أخبرت المجلس في نوفمبر 2023 أنها أدركت بعد النشر بفترة وجيزة أن تصريحات سبتمبر كانت غير دقيقة، لكنها لم تنشر التصحيح حتى مارس 2024 بعد أسئلة متكررة من المجلس. أصبح هذا التأخير جزءًا من استنتاج المجلس بشأن ثقافة الأمان، لأن العملاء يستخدمون إفصاحات السبب الجذري للحكم على ما إذا كان مسار الاستحواذ الفعلي قد تم إغلاقه.
السبب الجذري، والمحفز، وإخفاقات الكشف
يكون تحليل الحوادث أكثر دقة عندما يفصل المحفز عن الأسباب الجذرية وإخفاقات الكشف والاستجابة.
المحفز
كان المحفز التشغيلي هو استخدام Storm-0558 لمفتاح التوقيع الخاص MSA لعام 2016 المسروق لإنشاء رموز وتقديمها عبر مسارات الوصول إلى Exchange Online. اختارت الجهة أهدافًا، وشغلت بنية تحتية، وصاغت تأكيدات، ووصلت إلى رسائل البريد الإلكتروني، وسربت رسائل. الجهة مسؤولة عن الاختراق الخبيث. إسناد النشاط إلى جهة تجسس مرتبطة بجمهورية الصين الشعبية هو تقييم استخباراتي أفادت به Microsoft وCSRB؛ هذه المقالة لا تسند بشكل مستقل توجيه الدولة.
الأسباب الجذرية الفنية والظروف المساعدة
السؤال الجذري الأول، كيف هرب المفتاح الخاص من سيطرة Microsoft، لم يتم حله. يجب تسجيله كحقيقة مادية مفتوحة، وليس سدها بفرضية تفريغ الأعطال.
السبب الثاني راسخ بشكل أفضل: ظل المفتاح القديم موثوقًا به. توقف التدوير اليدوي للمفاتيح الاستهلاكية في عام 2021 بعد انقطاع، ولم يكن البديل الآلي جاهزًا، ولم يجبر أي تنبيه فعال للتقادم على الحل. سرقة مفتاح قصير العمر أو تم سحبه بسرعة كانت ستنتج فرصة أقل. سرقة مفتاح ظل مقبولاً لسنوات أنتجت قوة توقيع دائمة.
السبب الثالث هو فشل نطاق التحقق من الرموز. تحققت الخدمة من التوقيع مقابل مواد المفتاح المتاحة عبر البيانات الوصفية المشتركة لكنها لم تثبت بشكل كافٍ أن مجال هوية المفتاح كان مصرحًا له بتفويض المورد المؤسسي المطلوب.توثيق التحقق من رمز الوصول الحالي من Microsoftيطلب من خوادم الموارد التحقق من توقيع الرمز، والجمهور، والمصدر، والمستأجر، ومصدر مفتاح التوقيع. تُظهر حالة Storm-0558 لماذا هذه الفحوصات ليست زائدة عن الحاجة. التوقيع الصحيح رياضيًا يجيب على من يملك مفتاحًا خاصًا؛ لا يجيب، بحد ذاته، على ما إذا كان هذا المفتاح مصرحًا لهذا المستأجر، أو فئة الحساب، أو الخدمة، أو المورد.
السبب الرابع هو عيب التصميم في تجديد رمز OWA. بمجرد قبول الهوية المزورة عبر تدفق شرعي، سمحت GetAccessTokenForResource لرمز بالحصول على آخر بطريقة قامت Microsoft بتعديلها لاحقًا لتمييز إصدار Azure AD عن MSA. لم يخلق هذا قدرة التوقيع الأصلية، لكنه جعل مسار الوصول أكثر فائدة واستدامة.
الشرط المساعد الخامس هو عدم كفاية كشف الشذوذ من جانب المزود. صرحت Microsoft أن نمط رموز الجهة كان واضحًا بأثر رجعي لأنه لا يوجد نظام شرعي من Microsoft يوقع الرموز بهذا المزيج. ومع ذلك، لم ينبه المزود على هذه الحالة المستحيلة أو الشاذة للغاية قبل أن يبلغ عميل عن سلوك صندوق بريد. وجد CSRB أن مزودي سحابة آخرين لديهم ضوابط كانت مفقودة من Microsoft وأوصى بأن يستخدم المزودون بيانات خاصة في خوارزميات توليد الرموز وإشارات التحقق لاكتشاف التأكيدات المزورة حتى عندما يتحقق التوقيع.
إخفاقات الكشف والاستجابة
اعتمد الكشف على عميل لديه ترخيص ممتاز، وتحليل مخصص، ومشغلين مؤهلين، ورغبة في متابعة تنبيه معتدل كان قد أنتج بالفعل نتائج إيجابية خاطئة. هذا تحكم مثير للإعجاب من وزارة الخارجية. إنه أيضًا نموذج أمان على مستوى النظام غير مستقر. لا يمكن توقع من آلاف العملاء إعادة بناء اختراق تشفيري لمزود من أحداث صندوق بريد اختيارية، خاصة عندما لم يكن الحدث اللازم لهذه الحملة متاحًا لمستخدمي الترخيص القياسي.
في ذلك الوقت، كان MailItemsAccessed متاحًا عبر Microsoft Purview Audit Premium ويتطلب ترخيص E5 أو G5. كانت الوزارة تمتلك G5 ويمكنها إنشاء Big Yellow Taxi. ضحايا آخرون دون تسجيل متميز افتقروا إلى نفس الرؤية التاريخية. لذلك حث تنبيه CISA و FBI المنظمات على تفعيل التسجيل المتميز مع الإشارة صراحةً إلى متطلبات الترخيص. بعد سبعة أيام، التزمت Microsoft بإزالة حاجز المستوى لأنواع الأحداث الرئيسية. وصفت مديرة CISA Jen Easterly هذا التغيير كخطوة نحو ممارسة التصميم الآمن افتراضيًا فيبيان CISA في 19 يوليو.
كما تم تقييد الاستجابة بالاحتفاظ بأدلة المزود. لم تمتلك Microsoft السجلات اللازمة لتحديد كيف أو متى سُرق المفتاح. حدت نوافذ الـ30 يومًا من أقدم نشاط عميل يمكن ملاحظته، بينما كانت الأحداث القديمة للمؤسسة والإنتاج اللازمة لفرضية 2021 غير متاحة. يحمل الاحتفاظ بالسجلات دائمًا التزامات التكلفة والخصوصية والتحكم في الوصول، لكن لا يمكن للمزود الادعاء بشكل مقنع بحماية الجواهر التشفيرية إذا كان أفق أدلته أقصر من الوقت الذي يمكن للجهات المتطورة أن تظل فيه صامتة.
أخيرًا، كان التصحيح المتأخر للرواية السببية لشهر سبتمبر فشلاً في الاستجابة. لم يسمح بالاختراق الأصلي، لكنه أضر بالضمان العام. يجب أن يفصل تقرير ما بعد الحادث بين الحقائق، والفرضيات التي تم تقييمها، والثقة، والأدلة المتضاربة، والأسئلة التي لم تُحل. نشر آلية كاملة الصوت وتصحيحها بعد ستة أشهر فقط جعل من الصعب على العملاء والمشرفين تحديد ما إذا كان التصحيح يعالج المسار الفعلي.
مشكلة التسجيل والترخيص
يتم التعامل أحيانًا مع التسجيل كميزة منتج مساعدة. في هذا الحادث، كان عنصر تحكم أمني ومصدرًا لعدم تناسق المعلومات.
امتلكت Microsoft تلميترا على مستوى الخدمة ورؤية داخلية لنظام الهوية غير متاحة لأي عميل. يمكن لكل عميل فقط ملاحظة مستأجره وأنواع الأحداث المدرجة في اشتراكه وتكوينه. جاء التنبيه الحاسم من MailItemsAccessed، وهو حدث مصمم لإظهار متى تم الوصول إلى عناصر صندوق البريد. صرحت CISA و FBI أنهما لا يعرفان أي حدث تدقيق آخر كان سيكشف هذا النشاط. العميل بدون الحدث كان لا يزال بإمكانه ملاحظة علامات سياقية، لكنه افتقر إلى نفس سطح الدليل المباشر.
يخلق هذا حدودًا تجارية إشكالية. يمكن لمنتجات الأمان المتميزة أن تفرض رسومًا بشكل معقول على التحليلات المتقدمة، والأتمتة، والاحتفاظ الطويل، والتحقيق المُدار. الدليل الأدنى اللازم لمعرفة ما إذا كانت الخدمة التي يديرها المزود قد وصلت إلى بيانات العميل مختلف. عندما يتحكم المزود وحده في النظام ويجب على العميل دفع مبلغ إضافي لملاحظة الوصول الناتج عن فشل هوية المزود نفسه، يُطلب من العميل شراء رؤية لمخاطرة لا يمكنه تصحيحها مباشرة.
يعترف التغيير بعد الحادث بهذا التمييز. التزمت Microsoft بتوفير سجلات أمان سحابية أوسع عالميًا دون تكلفة إضافية، وإضافة أحداث الوصول التفصيلية إلى البريد الإلكتروني إلى التدقيق القياسي، ومضاعفة الاحتفاظ القياسي الافتراضي إلى 180 يومًا. في فبراير 2024، أعلنت CISA ومكتب الإدارة والميزانية ومكتب المدير السيبراني الوطني وMicrosoft أن التسجيل الموسع أصبح متاحًا لجميع الوكالات الفيدرالية التي تستخدم Purview Audit بغض النظر عن المستوى، مع التفعيل التلقائي والاحتفاظ الافتراضي الأطول. قدمالإعلان المشترك عن التنفيذسجلات تدقيق عالية الجودة دون رسوم إضافية أو تكوين كتوقع للتصميم الآمن افتراضيًا.
لا يلغي الإصلاح مسؤولية العميل. يجب توجيه السجلات إلى أنظمة قابلة للاستعلام، والاحتفاظ بها وفقًا لمتطلبات المخاطر والقانونية، وإرساءها كخط أساس، والاستعلام عنها، وربطها بإجراءات الاستجابة. يوصي تنبيه CISA بهذه التدابير بالضبط. لكن الانضباط التشغيلي للعميل يصبح ذا معنى فقط بعد أن يصدر المزود الحدث ذي الصلة ويجعله في متناول اليد. توفر التلميترا واستخدام التلميترا هما تحكمان منفصلان ينتميان إلى أطراف مختلفة.
أثرت التراخيص أيضًا على المساواة الجنائية بين الضحايا. تمتعت بيئة G5 للوزارة بتاريخ أقوى من البيئات ذات المستوى القياسي. تفعيل حدث بعد الحادث لا يعيد بناء ما لم يتم تسجيله مطلقًا. هذا يعني أن نفس فشل المزود يمكن أن ينتج مستويات مختلفة من الثقة بشأن التأثير بناءً على اشتراك العميل، حتى لو لم يتحكم أي من العميلين في مفتاح التوقيع الأساسي. لذلك يجب التعامل مع الحد الأدنى من الأدلة الجنائية كجزء من خط الأساس الأمني للخدمة، وليس مجرد بيع إضافي.
التأثير على العملاء الفيدراليين واستمرارية القطاع العام
أثر الاختراق على رسائل البريد الإلكتروني غير المصنفة، لكن "غير مصنف" لا يعني تافهًا من الناحية التشغيلية. تحتوي صناديق بريد كبار المسؤولين على تقاويم، ومداولات سياسية، وشبكات اتصالات، ومواقف تفاوضية، ومسودات لغة، والنسيج الضام للحكومة. يمكن لجهاز استخباراتي استخلاص قيمة من التجميع والتوقيت والعلاقات والسياق دون الحصول على وثائق مصنفة رسميًا.
ذكرت وزارة الخارجية لاحقًا أنه تم تنزيل حوالي 60.000 رسالة بريد إلكتروني من 10 حسابات. فيإيجازها الصحفي في 28 سبتمبر 2023، وصفت الوزارة المواد المعنية بأنها غير مصنفة وصرحت بأنه لم يتم اختراق أي نظام بريد إلكتروني مصنف. حددت إعادة بناء CSRB الأوسع المزيد من حسابات الوزارة التي تم الوصول إليها، مما يعكس طرقًا مختلفة لحساب الوصول إلى الحسابات والمجموعة الفرعية التي تم تنزيل الرسائل منها. لا تستنتج المقالة محتوى الرسائل بما يتجاوز ما كشفت عنه الوكالات.
كانت صناديق البريد الرسمية والشخصية لوزيرة التجارة من بين تلك المتأثرة، وفقًا لـ CSRB. كان مجلس النواب الأمريكي أيضًا جزءًا من المجموعة المتأثرة، بما في ذلك النائب Don Bacon.تحقيق في مجلس النواب في أغسطس 2023طلب إحاطات من وزارتي الخارجية والتجارة حول الاكتشاف والتأثير والاستجابة والأمن المستقبلي. تثبت هذه الحقائق تعرضًا حساسًا للقطاع العام واهتمامًا رقابيًا؛ لا تثبت أن قرارات سياسية محددة تغيرت بسبب الاختراق.
للاستمرارية في هذا السياق خمسة أبعاد على الأقل.
أولاً، استمرارية الخصوصية: يحتاج المسؤولون إلى توقع دائم بأن اتصالات السحابة الروتينية لا تنسخ بصمت من قبل جهاز استخباراتي أجنبي.
ثانيًا، استمرارية القرارات: تحتاج الفرق التي تحضر لسفر دبلوماسي أو سياسة اقتصادية إلى أن تكون قادرة على المداولة دون افتراض أن الخصم لديه وصول متزامن إلى رسائل البريد الإلكتروني الخاصة بهم.
ثالثًا، استمرارية الأدلة: تحتاج الوكالات إلى بيانات كافية محفوظة لإعادة بناء من وصل إلى ماذا ومتى. بدون ذلك، لا يمكن للقادة تحديد الحادث بثقة أو تحديد العلاقات والقرارات التي تتطلب إعادة التحقق من الصحة.
رابعًا، استمرارية الاستجابة: يجبر اختراق المزود الوكالات على تحويل القدرات الأمنية والقانونية والدبلوماسية والأرشيفية والقيادية. حتى عندما تظل رسائل البريد الإلكتروني متاحة، يخضع عمل المهمة لضريبة خفية من الاستجابة للحوادث.
خامسًا، استمرارية الثقة: يعتمد التبني الفيدرالي للخدمات السحابية المشتركة على ضمان أن المزود سيكتشف الإخفاقات في مستوى التحكم الخاص به، ويكشف عنها بدقة، ويزود العملاء بأدلة قابلة للاستخدام. يمكن للخدمة تحقيق هدف التوفر مع الفشل في اختبار الاستمرارية الأوسع هذا.
كشف الحادث أيضًا عن مخاطر التركيز. توفر Microsoft خدمات الهوية والبريد الإلكتروني والإنتاجية ونظام التشغيل والأمان والسحابة لجزء كبير من الحكومة والقطاع الخاص. يمكن للتكامل تحسين الإدارة والكشف، لكنه يمكن أيضًا السماح لفشل هوية واحد من جانب المزود بعبور الحدود التنظيمية عالميًا. وصف CSRB مركزية Microsoft كسبب للمطالبة بأعلى معايير الأمان والمساءلة والشفافية.
التركيز لا يؤدي تلقائيًا إلى استنتاج أن كل وكالة يجب أن تتخلى عن Microsoft أو تحافظ على أنظمة بريد إلكتروني مكررة. الهجرة نفسها تخلق تكاليف ومخاطر، وقد يعيد العديد من المزودين إنتاج نقاط ضعف هوية مماثلة. أقوى استنتاج هو أن المشتريات والرقابة يجب أن تقيم صراحة خطر فشل الهوية في الوضع المشترك: تجزئة المفاتيح، وكشف الشذوذ من جانب المزود، والوصول إلى التدقيق، والاحتفاظ بالأدلة، والإخطار بالحوادث، والاختبار المستقل، وترتيبات الخروج أو الاستمرارية يجب التعامل معها كمتطلبات خدمة.
استنتاجات CSRB ولماذا تهم
يصفصفحة نشر CSRBالتقرير كمراجعة مستقلة للقرارات التشغيلية والاستراتيجية وتقول إنه يوصي بممارسات للصناعة والحكومة. استنتاجاته الرئيسية قاسية لكنها محددة.
استنتج المجلس أن ثقافة الأمان في Microsoft كانت غير كافية وتحتاج إلى إصلاح. أسس هذا الاستنتاج على سلسلة الإخفاقات التي يمكن منعها، والفشل في اكتشاف اختراق مفتاح توقيع حاسم، والاعتماد على عميل للاكتشاف، والمقارنة مع الضوابط لدى مزودين آخرين، واختراق الجهاز المستحوذ عليه في 2021، والتصحيح المتأخر للتصريحات العامة غير الدقيقة، واختراق منفصل من قبل دولة قومية في 2024 كان خارج نطاق هذه المراجعة. الاستنتاج تنظيمي لأنه لا يوجد خطأ برمجي واحد يشرح لماذا ظل المفتاح مقبولاً، ولماذا فشل الفصل بين المجالات، ولماذا لم تنبه أنماط الرموز المستحيلة، ولماذا كانت الأدلة غير متاحة، ولماذا تجاوز التأكيد السببي الدليل.
قدم المجلس أيضًا بدائل مضادة ملموسة. لو لم يتم مقاطعة التدوير اليدوي دون بديل آلي مكتمل، أو لو كان تنبيه تقادم المفتاح قد أجبر على اتخاذ إجراء، لما ظل مفتاح 2016 صالحًا في 2023. لو تم فصل التحقق الاستهلاكي والمؤسسي بشكل صحيح، لكان نطاق الجهة أضيق بكثير ولما شمل العملاء المؤسسيين. لو اكتشفت Microsoft رموزًا لا تتطابق مع خوارزمية التوليد الخاصة بها، لكانت الحملة قد أُغلقت أو اكتشفت من جانب المزود. لو وجد احتفاظ جنائي أقوى، لربما أجابت Microsoft على سؤال الاستحواذ على المفتاح.
تظهر هذه البدائل المضادة مبدأ الأمان متعدد الطبقات. لم يتطلب الاختراق فشل كل عنصر تحكم بنفس الطريقة. كان بإمكان أي من عدة ضوابط مستقلة منع اختراق المؤسسة أو تقصيره بشكل جوهري:
- كان بإمكان الحفظ الآمن منع فقدان المفتاح.
- كان بإمكان التدوير الآلي المتكرر جعل المفتاح المسروق غير قابل للاستخدام قبل 2023.
- كان بإمكان التحقق الحساس للنطاق حصر مفتاح استهلاكي في الخدمات الاستهلاكية.
- كان بإمكان فحوصات الرموز ذات الحالة أو الخاصة باكتشاف رمز لن تصدره Microsoft أبدًا.
- كان بإمكان المراقبة على مستوى المزود إظهار المزيج المستحيل من مجال التوقيع.
- كان بإمكان سجلات العميل الأساسية تمكين المزيد من الضحايا من اكتشاف الوصول وتحديده.
- كان بإمكان الاحتفاظ الأطول من المزود تحسين الثقة في السبب الجذري.
لهذا السبب لا يمنع مسار السرقة غير المحلول تحليل المسؤولية. المجهول مهم، لكن العديد من الإخفاقات المستقلة كافية أو محددة التأثير موثقة. لا يمكن للمزود الرد على حلقة مفقودة من السبب الجذري بمعالجة السلسلة بأكملها على أنها غير قابلة للمعرفة.
امتدت توصيات المجلس إلى ما وراء Microsoft. دعت إلى ممارسات حديثة لإدارة المفاتيح، وتدوير آلي ومتكرر، ومفاتيح محمية بالأجهزة، ومكتبات مصادقة مشتركة، ومعايير هوية رقمية أقوى، وتسجيل أدنى للعميل دون رسوم إضافية، وستة أشهر على الأقل من السجلات المناسبة المتاحة للعملاء، وإخطار أفضل للضحايا، وإفصاح أكثر شفافية عن ثغرات السحابة. تعالج هذه التدابير هيكلًا صناعيًا يمتلك فيه المزودون كلًا من التحكم المتميز وأفضل الأدلة.
استجابة Microsoft
صححت الاستجابة الفورية من Microsoft العيوب المعروفة في المحقق والتجديد، ومنعت المفتاح المسروق، وألغت مفاتيح توقيع MSA النشطة آنذاك، ونقلت المفاتيح الاستهلاكية إلى مخزن المفاتيح المؤسسي المعزز، وزادت العزل، وصقلت مراقبة نظام المفاتيح. عالجت هذه الإجراءات الحملة المرصودة مباشرة. أخطِرَت المنظمات المتأثرة ونشرت مؤشرات البنية التحتية للمدافعين.
ثم قامت Microsoft بتغيير تحكم تجاري من خلال توسيع الوصول إلى التدقيق. هذا الإجراء يمكن ملاحظته بشكل مستقل في التزام المنتج والنشر الفيدرالي، على الرغم من أن الاكتمال العملي لتغطية الحدث لا يزال يعتمد على الخدمة والتكوين والاحتفاظ وعمليات العميل.
في نوفمبر 2023، أطلقت Microsoft مبادرة المستقبل الآمن.إعلانها الأولي لـ SFIالتزمت بنظام إدارة مفاتيح موحد ومؤتمت بالكامل للمستهلكين والمؤسسات، باستخدام الحوسبة السرية ووحدات أمان الأجهزة، مع بنية مصممة لإبقاء المفاتيح غير قابلة للوصول حتى عند اختراق العمليات الأساسية. التزمت مقالة هندسية مصاحبة بالتدوير الآلي عالي التردد دون وصول بشري.
بعد تقرير CSRB واختراق منفصل من قبل دولة روسية لبريد Microsoft المؤسسي، وسعت الشركة SFI في مايو 2024. وضعالبرنامج الموسعأهدافًا تشمل التدوير التلقائي السريع والحماية المادية لمفاتيح التوقيع، ومجموعات تطوير برمجيات الهوية القياسية في التطبيقات، والتحقق بحالة ودائم لرموز الهوية، وتقسيم أدق للمفاتيح، وإزالة محاور الهوية الجانبية، والاحتفاظ بسنتين لسجلات الأمان وستة أشهر من السجلات المناسبة للعملاء. كما ذكر أن جزءًا من تعويض كبار المسؤولين سيعتمد على مراحل الأمان.
في يونيو 2024، صرح نائب رئيس Microsoft ورئيسها Brad Smith للجنة الأمن الداخلي بمجلس النواب أن الشركة تقبل المسؤولية عن كل مشكلة ذكرها تقرير CSRB.شهادته المكتوبةأشارت إلى أن Microsoft تعمل على جميع توصيات المجلس الـ16 القابلة للتطبيق على الشركة، وخصصت ما يعادل 34000 مهندس بدوام كامل لـ SFI، وتنتقل بأنظمة الهوية الاستهلاكية والمؤسسية إلى نظام إدارة مفاتيح مدعوم بالأجهزة، وأحرزت تقدمًا في التدوير الآلي، ومكتبات المصادقة المشتركة، وإشارات التحقق من الرموز.سجل جلسة الكونغرسيوفر سياق الرقابة العامة والأسئلة.
في سبتمبر 2024، أبلغت Microsoft عن مجلس حوكمة للأمن السيبراني، ونواب مسؤولي أمن المعلومات لأقسام الهندسة، والأمان في تقييمات أداء الموظفين، ومراجعة منتظمة من قبل الإدارة ومجلس الإدارة.تحديث تقدم SFIمن الشركة هو دليل على تغييرات الحوكمة وتقدم التنفيذ المبلغ عنه.
هذه الاستجابات هي التزامات جوهرية. يجب وصفها على أنها التزامات وتقدم أبلغت عنه الشركة حيث لا يكون التحقق المستقل علنيًا. أوصى CSRB بهندسات وضوابط محددة، لكنه لم يشهد على اكتمالها اللاحق. سيتطلب معيار إغلاق موثوق تغطية قابلة للقياس لتدوير المفاتيح، وأدلة على إيقاف تشغيل المحققين الحاليين، واختبارات تظهر أن الحدود بين الاستهلاكية والمؤسسية تفشل في وضع مغلق، وتلميترا محفوظة كافية للتحقيق في أحداث المفاتيح، وتأكيد خارجي على أن الاستثناءات لا يمكن أن تستمر بصمت.
المسؤولية بقدرة التحكم
تبدأ خريطة مفيدة للمسؤولية بمن يمكنه منع أو اكتشاف أو تقييد أو تقصير كل فشل.
سيطرت Microsoft على توليد المفاتيح وتخزينها وتدويرها وسحبها ومجموعة الثقة الإنتاجية. سيطرت على بنية البيانات الوصفية المشتركة، والمكتبات الداعمة، ومحقق Exchange Online، وواجهة تجديد رمز OWA، ومنطق الكشف على مستوى الخدمة. سيطرت على الاحتفاظ بالأدلة الداخلية للإنتاج والمؤسسة. وسيطرت أيضًا على دقة وتوقيت الإفصاحات الفنية العامة. المسؤولية عن هذه الأسطح تقع بشكل أساسي على Microsoft.
سيطرت وزارة الخارجية على مراقبة مستأجرها، ومنطق التنبيه المخصص، والفرز، والتصعيد، والتنسيق مع CISA و FBI. أدت هذه المهام بكفاءة كافية لاكتشاف اختراق على مستوى المزود. سيطر عملاء آخرون على المراقبة والاستجابة ضمن حدود التلميترا المتاحة لهم. تظل مسؤولية العميل حقيقية، لكنها لا يمكن أن تحل محل ضوابط المزود التي لا يمكن للعملاء رؤيتها أو تعديلها.
سيطرت CISA ومكتب الإدارة والميزانية ومسؤولو المشتريات بالوكالات على أجزاء من خط الأساس الفيدرالي: متطلبات التسجيل، وإرشادات التكوين، والتوقعات التعاقدية، والتنسيق بين الوكالات، والنفوذ للمطالبة بافتراضات أكثر أمانًا. عملهم في التسجيل بعد الحادث قلل من عدم المساواة. لا يجب على نظام شراء ناضج الاعتماد على أزمة لتحديد أن العملاء بحاجة إلى الوصول إلى أدلة الوصول إلى صندوق البريد.
سيطر Storm-0558 على العملية العدائية ويتحمل مسؤولية الاختراق. هذه الحقيقة الواضحة لا تمحو قابلية المنع. تفحص تحقيقات الأمان بشكل منهجي لماذا وصل إدخال خبيث أو خطير إلى الأنظمة المحمية على الرغم من ذنب الجهة. يجيب الإسناد والمسؤولية الدفاعية على أسئلة مختلفة.
تتحكم مجالس الإدارة والمديرون التنفيذيون للشركات في تخصيص الموارد، وقبول المخاطر، والحوافز، والجداول الزمنية. لم يكن التوقف في التدوير اليدوي للمفاتيح بعد انقطاع مجرد خطأ هندسي معزول؛ استمرت العاقبة الأمنية لأن الأتمتة والتنبيه لم تحصل أو تحافظ على أولوية كافية. قرار Microsoft اللاحق بربط تعويض المسؤولين التنفيذيين بمراحل الأمان يعترف ضمنيًا بأن مستوى التحكم ذي الصلة يمتد فوق الفريق الذي كتب المحقق.
لا يجب تحويل التوزيع ميكانيكيًا إلى نسبة مئوية من المسؤولية القانونية. تختلف العقود والحصانة السيادية والأضرار والسببية والتزامات الإفصاح والولاية التنظيمية.طلب السناتور Ron Wyden في يوليو 2023طلب من وزارة العدل ولجنة التجارة الفيدرالية وCSRB التحقيق في ممارسات Microsoft. هذا الطلب دليل على القلق التنظيمي، وليس دليلاً على أن الوكالات المطلوبة توصلت إلى استنتاج إنفاذ. لا يثبت أي ملف عام موثق مستخدم هنا حكمًا قانونيًا نهائيًا على Storm-0558.
ما يجب أن يثبته التصحيح الدائم
يجب اعتبار الحادث مغلقًا تشغيليًا فقط فيما يتعلق بالتقنية المرصودة لمفتاح 2016. مشكلة الضمان الأوسع تظل مفتوحة حتى يمكن إثبات التصحيح عبر عدة أبعاد.
حفظ المفاتيح ودورة حياتها
يجب أن تكون Microsoft قادرة على إظهار أن مفاتيح التوقيع الاستهلاكية والمؤسسية يتم توليدها واستخدامها داخل أنظمة محمية بالأجهزة، ولا يمكن تصديرها إلى بيئات التصحيح أو المؤسسة العامة، وتدور تلقائيًا بتردد يتناسب مع قوتها، وتولد تنبيهات قابلة للتنفيذ عندما يتجاوز العمر أو استثناءات السياسة الحدود. يجب ممارسة التدوير الطارئ دون التسبب في نوع الانقطاع الذي أدى إلى توقف 2021. يجب أن يقلل تجزئة المفاتيح من عدد المستأجرين والخدمات وفئات الحسابات المكشوفة بواسطة مفتاح واحد.
دقة التحقق
يجب أن تستخدم كل خدمة ثقة مكتبات معتمدة تتحقق من التوقيع والمصدر والجمهور والمستأجر وفئة الحساب ومصدر المفتاح والعمر الزمني والتفويض الخاص بالخدمة.توثيق OpenID Connect من Microsoftيشرح أن بيانات اكتشاف البيانات الوصفية تكشف نقاط نهاية المزود ومفاتيح التوقيع العامة؛ هذا لا يجعل كل مفتاح مدرج قابلاً للتبادل لكل مورد. يجب أن تقدم اختبارات الامتثال عمدًا رموزًا موقعة بشكل صحيح ولكن غير صحيحة النطاق وتتحقق من الرفض.
مقاومة التزوير بما يتجاوز التوقيعات عديمة الحالة
يمكن لرمز الحامل الموقع منفردًا أن يظل مقنعًا بعد سرقة مفتاح التوقيع. يمكن للتحقق بحالة، وأساليب إثبات الحيازة، وعلامات الإصدار الخاصة، وعمر محدود، والإلغاء السريع تقليل هذا الخطر. الهدف ليس التخلي عن المعايير بل ضمان أن حيازة المفتاح لا تخلق سلطة عالمية غير قابلة للملاحظة.
تلميترا المزود والعميل
يجب على المزود اكتشاف مجموعات الرموز المستحيلة عبر الخدمة والحفاظ على الأدلة الداخلية لفترة كافية للحملات المتطورة. يجب أن يتلقى العملاء افتراضيًا أحداث الوصول إلى صندوق البريد والهوية، دون بوابة متميزة، بنظام موثق يمكن تصديره إلى أدوات تحليل مستقلة. ستة أشهر من السجلات المتاحة للعملاء، كما أوصى CSRB واعتمد كهدف لـ SFI، يجب أن تكون أرضية لنشاط هوية سحابية عالية القيمة بدلاً من سقف طموح.
التواصل بشأن الحوادث
يجب أن تحمل الإفصاحات الفنية سجل إصدارات، ومستويات ثقة، وأسئلة غير محلولة صريحة. عندما تفقد فرضية منشورة دعمها الإثباتي، يجب أن يكون التصحيح سريعًا ومرئيًا. لا ينبغي للمزود أن يحتاج إلى هيئة رقابية لتطلب مرارًا ما إذا كانت رواية السبب الجذري غير الدقيقة سيتم تعديلها.
ضمان مستقل
تقارير تقدم الشركة مفيدة لكنها غير كافية لخطة تحكم تعتمد على القطاع العام. يحتاج العملاء الفيدراليون إلى آليات ضمان يمكنها اختبار التدوير وعزل المفاتيح وتغطية المحقق وأداء التنبيه والاحتفاظ الجنائي دون كشف الأسرار. النقطة ليست نشر بنية حساسة. إنها دليل على أن الضوابط المبلغ عنها تعمل في الإنتاج، بما في ذلك الأنظمة القديمة والبيئات المستحوذ عليها.
دروس عملية لعملاء السحابة والمشترين الحكوميين
لا يمكن للعملاء إصلاح نظام التوقيع للمزود، لكن يمكنهم جعل الاعتماد أكثر قابلية للإدارة.
أولاً، اشتروا أدلة، وليس مجرد ميزات. يجب أن تحدد العقود وخطوط الأساس للخدمة أحداث الوصول والهوية والإدارة والرمز وصندوق البريد المتاحة؛ ومدى سرعة وصولها؛ ومدة بقائها قابلة للاستعلام؛ وما إذا كان العملاء يمكنهم تصديرها. يجب اختبار التسجيل بأحداث محاكاة قبل وقوع حادث.
ثانيًا، ابنوا تحليلات حول الوصول إلى البيانات بالإضافة إلى تسجيل الدخول. يمكن للرمز المزور تجاوز الحالات الشاذة التي يتوقعها المدافعون من سرقة كلمة المرور. كان MailItemsAccessed مهمًا لأنه لاحظ الإجراء المحمي، وليس مجرد طقوس المصادقة. يجب على البيئات عالية القيمة وضع خط أساس للوصول غير المعتاد إلى صندوق البريد، ومعرفات التطبيق، والجغرافيا، وسلوك العميل، وحجم الوصول.
ثالثًا، حافظوا على مسار تصعيد يفترض أن المزود يمكن أن يكون جزءًا من الحادث. يجب أن يعرف فريق المستأجر كيفية الاتصال بمنظمة استجابة الأمان للمزود، أو CISA أو السلطة الوطنية المختصة، أو إنفاذ القانون، والإدارة التنفيذية دون الاعتماد على قناة البريد الإلكتروني التي قد تكون مخترقة.
رابعًا، تعاملوا مع تركيز الهوية كمخاطر استمرارية. يجب أن يعرف المشترون أي الخدمات الحيوية تشترك في جذر هوية، وما يمكن أن يحققه اختراق مفتاح على مستوى المزود، والوظائف التي يمكن أن تستمر أثناء استعادة الثقة في السحابة. قد يبرر هذا التجزئة، أو هويات إدارية منفصلة، أو تخزين سجلات مستقل، أو تنوع انتقائي لسير العمل الأكثر حساسية.
خامسًا، اختبروا التزامات المزود بالإخطار والأدلة. الوعد بإخطار "العملاء المتأثرين" مفيد بقدر قدرة المزود على تحديدهم. في Storm-0558، كان Microsoft فقط يمكنه تحديد معظم الضحايا لأن الرموز المزورة عملت داخل خدمته. هذا يجعل التلميترا على مستوى المزود والتواصل في الوقت المناسب جزءًا من بنية اكتشاف العميل.
أخيرًا، لا تخلطوا بين المسؤولية المشتركة والقدرة المتساوية. يجب على العملاء تأمين ما يتحكمون فيه. يجب أن يكون المزودون مسؤولين عن الضوابط الحصرية للمزود. يجب على المنظمين والمشترين التركيز على الحدود بينهما، لأن المتطلبات الأمنية هناك تكون أكثر عرضة للغموض أو الاختيارية أو التسليع.
التقييم
كان اختراق Storm-0558 لـ Exchange Online فشلًا يمكن منعه في هوية السحابة مع مسار استحواذ أولي غير محلول للمفتاح. تدعم الأدلة العامة استنتاجًا عالي الثقة بأن Microsoft سمحت لمفتاح توقيع استهلاكي قديم بالبقاء موثوقًا به، ولم تفرض الحدود بين التحقق من الرموز الاستهلاكية والمؤسسية، وافتقرت إلى كشف كافٍ من جانب المزود لمجموعات الرموز التي لن تصدرها أنظمتها الخاصة، واحتفظت بأدلة قليلة جدًا لإعادة بناء تسرب المفتاح. كما تدعم استنتاجًا أن تسجيل العميل المتميز شكل بشكل جوهري من يمكنه اكتشاف الحملة والتحقيق فيها.
عالجت استجابة Microsoft مسار الوصول المرصود ثم توسعت إلى إصلاحات في إدارة المفاتيح والتحقق والتسجيل والحوكمة والحوافز. قبول Brad Smith لاستنتاجات CSRB مهم. وكذلك إزالة رسوم التسجيل للأحداث الأساسية والتحول إلى التدوير الآلي المدعوم بالأجهزة. سؤال المسؤولية المتبقي هو ما إذا كانت هذه التغييرات كاملة ودائمة وقابلة للتحقق بشكل مستقل في البنية التحتية للهوية الحالية والقادمة لـ Microsoft.
الدرس الأوسع من الحادث ليس أن الخدمات السحابية أقل أمانًا بطبيعتها من الأنظمة التي يديرها العملاء. يمكن للمزودين الكبار نشر الضوابط والاستخبارات والتصحيحات على نطاق لا يستطيع معظم العملاء تحقيقه. الدرس هو أن النطاق يركز أيضًا السلطة الخفية. عندما يمكن لمفتاح توقيع واحد وخطأ تحقق واحد الوصول إلى منظمات حول العالم، يعتمد الأمان على الانضباط الداخلي لمفاتيح المزود والأدلة التي لا يمكن للعملاء توليدها بأنفسهم.
لذلك تتطلب استمرارية القطاع العام تعريفًا أوسع لموثوقية الخدمة. التوفر ضروري، ولكن أيضًا الخصوصية، وهوية موثوقة، وأدلة قابلة لإعادة البناء، وإفصاح سريع، ومسار موثوق لاستعادة الثقة بعد اختراق من جانب المزود. ترك Storm-0558 Exchange Online قيد التشغيل. لكنه عطل الافتراضات التي استخدمتها الحكومات بناءً عليها. لهذا ينتمي الحادث إلى الملف كفشل في مسؤولية السحابة بدلاً من مجرد عملية تجسس ناجحة أخرى.

