Microsoft a extins capabilitățile de jurnalizare gratuită pentru toți clienții standard de auditare Purview, inclusiv agențiile federale americane, la șase luni după ce a dezvăluit că hackerii chinezi au furat e-mailuri guvernamentale americane fără a fi detectați într-o încălcare a Exchange Online între mai și iunie 2023.
Compania a lucrat cu CISA, Biroul de Management și Buget (OMB) și Biroul Directorului Național pentru Cibernetică (ONCD) încă de la momentul în care a dezvăluit incidentul pentru a se asigura că agențiile federale au acum acces la toate datele de jurnalizare necesare pentru a detecta atacuri similare în viitor.
\”Începând din acest luna, jurnalizarea extinsă va fi disponibilă pentru toate agențiile care utilizează Microsoft Purview Audit, indiferent de nivelul licenței,\” se arată într-un comunicat de presă emis astăzi.
\”Microsoft va activa automat jurnalele în conturile clienților și va crește perioada implicită de retenție a jurnalelor de la 90 de zile la 180 de zile. De asemenea, aceste date vor oferi o nouă telemetrie pentru a ajuta mai multe agenții federale să îndeplinească cerințele de jurnalizare impuse de Memorandumul OMB M-21-31.\”
Schimbarea nouă se aliniază și cu ghidul Secure by Design al CISA, care spune că toți furnizorii de tehnologie ar trebui să ofere \”jurnale de audit de înaltă calitate\” fără a necesita configurări suplimentare sau taxe extra.
\”Vara trecută, am fost încântați să vedem angajamentul Microsoft de a pune la dispoziție jurnalizarea necesară agențiilor federale și comunității mai largi de securitate cibernetică. Sunt încântat că am făcut progrese reale către acest obiectiv,\” a declarat Eric Goldstein, Directorul Executiv Adjunct pentru Securitate Cibernetică al CISA.
\”Fiecare organizație are dreptul la tehnologie sigură și sigură, și continuăm să facem progrese către acest obiectiv.\”
În iulie, Microsoft a dezvăluit că un grup de hackeri chinezi cunoscut sub numele de Storm-0558 a accesat și a furat date Outlook din Exchange Online de la aproximativ 25 de organizații, inclusiv agenții guvernamentale americane și europene occidentale.
Așa cum s-a dezvăluit ulterior, actorii de amenințare au folosit o cheie de consum a contului Microsoft (MSA) furată dintr-o descărcare de erori Windows pentru a falsifica token-uri de autentificare și a accesa conturile de e-mail vizate prin Outlook Web Access în Exchange Online (OWA) și Outlook.com.
În timp ce hackerii au evitat în mare măsură detectarea, unele agenții federale americane afectate au identificat activitatea dăunătoare folosind jurnalizarea îmbunătățită (adică evenimentele MailItemsAccessed).
Cu toate acestea, aceste capabilități avansate de jurnalizare erau disponibile doar pentru clienții cu licențe de jurnalizare Microsoft Purview Audit (Premium), ceea ce a condus la critici la adresa Redmond pentru împiedicarea organizațiilor de a detecta prompt atacurile Storm-0558.
În urma dezvăluirii incidentului și sub presiunea exercitată de CISA, Microsoft a fost de acord să extindă accesul la datele de jurnalizare gratuit pentru a permite apărătorilor rețelei să identifice încercări similare de încălcare în viitor.
Luni după incident, oficialii Departamentului de Stat al SUA au dezvăluit că hackerii chinezi Storm-0558 au furat cel puțin 60.000 de e-mailuri din conturile Outlook aparținând oficialilor Departamentului de Stat după ce au încălcat platforma de e-mail Exchange Online bazată pe cloud a Microsoft.
\”Microsoft nu merită niciun elogiu pentru că s-a conformat presiunii și a anunțat că nu își mai va exploata clienții pentru taxe suplimentare pentru caracteristici de bază precum jurnalele de securitate,\” a declarat senatorul american Ron Wyden pentru CyberScoop astăzi.
\”La fel cum un incendiator vinde servicii de pompieri, Microsoft a obținut profit din vulnerabilitățile propriilor produse și a construit o afacere de securitate generând zeci de miliarde de dolari pe an. Nu există un exemplu mai clar al necesității de a face companiile de software responsabile pentru securitatea lor neglijentă.\”
Actualizare 21 februarie, 21:04 EST: Articolul și titlul au fost revizuite pentru a indica în mod corect că toți clienții standard de auditare vor avea acces la funcția de jurnalizare extinsă.