Microsoft diz que segurança frouxa levou ao ataque cibernético da China é perfilado pela BTW Media porque evidências publicadas o vinculam à infraestrutura da internet, governança, dependências operacionais ou visibilidade de mercado.
Microsoft diz que segurança frouxa levou ao ataque cibernético da China é acompanhado como uma instituição de infraestrutura da internet no ecossistema de infraestrutura da internet.
Várias fontes públicas
- Uma revisão do ataque ao serviço de e-mail hospedado Exchange Online da Microsoft descobriu que o incidente poderia ter sido evitado, além da cultura frouxa de segurança da informação da Microsoft.
- A Microsoft foi criticada por seus lentos esforços para corrigir o registro público.
- A Microsoft não parece ter dado prioridade suficiente à reconstrução de sua infraestrutura legada para atender ao cenário de ameaças atual.
Ciberataques podem ser evitados
Uma revisão do ataque de junho de 2023 ao serviço de e-mail hospedado Exchange Online da Microsoft descobriu que o incidente poderia ter sido evitado se não fosse pela cultura frouxa de segurança da informação da Microsoft e pelas precauções de segurança na nuvem abaixo do padrão.
A revisão, conduzida pelo Cybersecurity Review Board (CSRB) da Cybersecurity and Infrastructure Security Agency do governo dos EUA, pediu uma “mudança cultural rápida” na Microsoft. As recomendações do Conselho incluem:
Os clientes da Microsoft se beneficiarão do foco direto do CEO e do conselho de administração na cultura de segurança e no desenvolvimento e compartilhamento público de planos com prazos específicos para fazer mudanças fundamentais e focadas em segurança em todo o negócio e em seu conjunto de produtos;
O CEO deve responsabilizar os altos funcionários pela implementação do programa;
A liderança da Microsoft deve considerar direcionar as equipes internas para despriorizar o desenvolvimento de recursos para infraestrutura de nuvem e conjuntos de produtos até que melhorias substanciais de segurança sejam feitas para eliminar a concorrência por recursos;
Os riscos de segurança devem ser total e adequadamente avaliados e tratados antes que novas capacidades sejam implantadas.
A linguagem forte veio em resposta ao ataque, que atribuiu a uma “litania de erros evitáveis da Microsoft”.
Leia também:Microsoft e Epic reduzem investimentos em jogos independentes
A quem culpar pelo ataque
O relatório do CSRB [PDF] culpou o ataque pelas práticas de rotação de chaves usadas para proteger as Contas de Serviço da Microsoft (MSA) – o sistema de gerenciamento de identidade que alimenta os serviços de nuvem do gigante do software para consumidores.
A MSA foi projetada no início dos anos 2000 sem rotação automática de chaves de assinatura ou processo de desativação. Como resultado, a Microsoft gerenciava chaves manualmente – mas parou de fazê-lo em 2021 após a prática levar a grandes interrupções na nuvem.
Então, quando Storm-0558 obteve uma chave criada em 2016 (que deveria ter sido desativada), ganhou a capacidade de acessar a versão do Outlook Web Access fornecida aos consumidores. As coisas escalaram a partir daí, pois uma falha no sistema da Microsoft significava que a chave MSA de 2016 poderia criar tokens que permitiam acesso a contas de e-mail corporativas, não apenas serviços de consumidor gerenciados pela criação da MSA. Como resultado, Storm-0558 consegue criar tokens que lhe dão acesso a clientes da Microsoft, como o Departamento de Estado dos EUA.
O grupo fez exatamente isso, roubando cerca de 60.000 e-mails do departamento, juntamente com uma lista de endereços de e-mail de todos os funcionários.
O relatório observa que, enquanto outros provedores de nuvem são melhores em rotação de chaves e implementação de outros controles de segurança, a Microsoft não é. Como resultado, o relatório critica a Microsoft por não conseguir detectar o vazamento de suas chaves.
A Microsoft também foi criticada por seus lentos esforços para corrigir o registro público. Redmond alegou que o ataque foi possível porque uma chave de criptografia gold estava presente em um despejo de falha que foi para um ambiente de depuração conectado à Internet. Mas a Microsoft nunca provou essa teoria.
Desconsiderando o gerenciamento de riscos de segurança
Outro tema do relatório é que a Microsoft “não coloca o gerenciamento de riscos de segurança em um nível compatível com a ameaça ou com a importância crítica da tecnologia da Microsoft para seus mais de 1 bilhão de clientes em todo o mundo”.
Os investigadores consideraram os pares multinuvem da Microsoft e os consideraram mais cautelosos do que o gigante do Windows. “A Microsoft não priorizou suficientemente a reconstrução de sua infraestrutura legada para atender ao cenário de ameaças atual”, concluíram os autores.
Briefing de Sinal
- Sinal: Microsoft diz que segurança frouxa levou ao ataque cibernético da China
- Região: Ásia-Pacífico
- Classe de Mercado: Tendências de serviços em nuvem da Ásia-Pacífico
Presença Operacional
- As fontes publicadas devem identificar as partes afetadas, a abrangência operacional e a exposição de mercado antes que este mapa de tendências seja considerado completo.
Contexto de Mercado
- Relevância operacional: Médio
- Horizonte temporal: Próximo trimestre
O que assistir
- Fique atento a declarações oficiais, atualizações regulatórias, exposição de clientes ou parceiros e divulgações de acompanhamento.
Briefing para Membros
Contexto de Tendência Aprofundado
Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.
Apenas para Strategic Circle
Strategic Circle
Aberto a todos os leitores. Desbloqueie Briefings de tendências após se inscrever e fazer login.
Junte-se ao Strategic CircleSomente para Leadership Alliance
Leadership Alliance
Para operadores, investidores e equipes de políticas que precisam de evidências de relacionamento, caminhos de falha e notas de origem. Faça login para desbloquear.
Junte-se ao Leadership Alliance
