.
A Microsoft anunciou na quarta-feira que forneceria a todos os clientes acesso gratuito a logs de segurança na nuvem – um serviço geralmente reservado para clientes premium – semanas após a revelação de que os e-mails baseados na nuvem de funcionários do governo eram alvos de um suposto hack na China.
Microsoft escreveu em seu blog, estava expandindo o acesso ao serviço a partir de setembro de 2023 para “aumentar a linha de base segura por padrão” de suas plataformas de nuvem “em resposta à crescente frequência e evolução das ameaças cibernéticas de estado-nação”.
Os assinantes da versão padrão do Microsoft Purview Audit também terão seu período de retenção padrão estendido de 90 para 180 dias.
A nuvem Goliath teorizou que, embora os logs não impeçam ataques, eles são úteis na análise forense digital e na resposta a incidentes. Eles fornecem informações sobre o comportamento do usuário legítimo versus anormal.
A mudança é resultado de uma estreita coordenação com clientes comerciais e governamentais, bem como com a Agência de Segurança Cibernética e Infraestrutura (CISA), disse a Microsoft. Acrescentou que a CISA pediu mais responsabilidade da indústria em relação à segurança cibernética.
A diretora da CISA, Jen Easterly, chamou a decisão de “um passo na direção certa”.
Em um postagem no blog no site da CISA elogiando a decisão, o diretor assistente executivo da organização para segurança cibernética, Eric Goldstein, citou o recente Microsoft Exchange Online violação.
De acordo com Goldstein, a agência afetada usou dados de registro para detectar a violação nos serviços de e-mail baseados em nuvem da Microsoft e tomar medidas para limitar os danos. Ele disse que cobrar pelStrong The One de dados era “uma receita para visibilidade inadequada na investigação de incidentes de segurança cibernética”.
O ataque – que a Microsoft chamou de focado em espionagem e atribuído a um agente de ameaças baseado na China que rastreia como Storm-O558 – foi encontrado pela agência Federal Civil Executive Brach (FCEB). Entre as vítimas relatadas estão a secretária de comércio dos EUA, Gina Raimondo, e outros funcionários do Departamento de Estado e Comércio. Os invasores tiveram acesso às contas por cerca de um mês antes de serem detectados em 16 de junho de 2023.
redmond disse ele determinou que o ator estava forjando tokens do Azure Active Directory (AD) usando uma chave de assinatura do consumidor da conta da Microsoft (MSA) adquirida, o que foi possível devido a um erro de validação no código da Microsoft. O uso de uma chave incorreta permitiu que a equipe de hackers da Microsoft rastreasse todas as solicitações de acesso do agente da ameaça.
Na sexta-feira, a Microsoft admitiu que ainda não sabia como os hackers obtiveram acesso à chave de assinatura necessária para acessar as contas e disse que a investigação estava “em andamento”.
Ele também revelou que viu a transição de Storm-0558 para outras técnicas – indicando que a capacidade da gangue de usar chaves de assinatura foi interrompida por medidas de segurança cibernética. ®
.
