Bu yılın Ocak ayında Microsoft’un, Rusya destekli bilgisayar korsanlığı grubu Midnight Blizzard’ın (APT29 veya Cosy Bear olarak da bilinir) başarılı bir saldırı gerçekleştirdiğini kabul etmesi üzerine, BT ve güvenlik yöneticilerinize sormak üzere beş sorudan oluşan bir liste oluşturmam istendi.
Bu makale, raporu okumanın yerini tutmaz ve Microsoft’un Küresel Hiper Ölçekli Bulutunun güvenlik ve risk profiliyle ilgilenen herkesin onu indirmesini ve hem ayrıntılı kanıt analizini hem de CSRB bulgularını dikkate almasını öneriyorum; oldukça düşündürücü bir okumadır.
Ancak şu anda raporu kendi başlarına okumaya zamanı olmayanlar için, raporun hem kilit noktalarını özetlemek hem de hem kurumsal düzeyde hem de Birleşik Krallık hükümeti bünyesinde gerçekleştirilecek açık eylemler ve sorulacak sorular önermek istiyorum. kendisi.
Her ne kadar ABD liderliği geçtiğimiz yıl Microsoft’u etkileyen çok sayıda güvenlik olayını değerlendirmek ve bunlara göre harekete geçmek için doğrudan harekete geçmiş olsa da, Birleşik Krallık hükümetinin (en azından kamuoyunda) çekingen ve nispeten ağzı sıkı olması dikkat çekicidir.
Bu, Birleşik Krallık’ın ABD merkezli bir Microsoft platformu üzerinde çok az etkide bulunabileceği veya hiç etki yapamayacağı gerçeğini yansıtıyor olabilir, ancak aynı zamanda Birleşik Krallık’ın güvenlik ve BT operasyonlarının – muhtemelen dünyadaki diğer herhangi bir ülkeden daha fazla – büyük ölçüde bağımlı olduğunu da yansıtabilir. Microsoft Genel Bulut Hizmetlerinin güvenli çalışması üzerine.
ABD ve diğer hükümetler Microsoft’un platformunun Kamu Sektörü veya Kritik Ulusal Altyapı kullanımına uygunluğu konusunda artan endişelerini dile getirirken Birleşik Krallık aslında bu teknolojileri benimsemeyi hızlandırıyor.
HMG, güvenlik sorunlarına dair açık kanıtlar bulunup yayınlanana kadar tozlarını kuru tutmayı seçmiş olabilir. Eğer öyleyse, CSRB raporu bu duruşu değiştirmelidir.
CRSB raporu – öne çıkan önemli noktalar
Rapor 34 sayfadan oluşan nispeten kompakt ve Ocak 2024 Midnight Blizzard saldırısı da dahil olmak üzere rapor edilen diğer Microsoft saldırılarına atıfta bulunsa da, bunun dışında Storm-0558 Mayıs/Haziran hack olayıyla ilgili özetini sıkı bir şekilde koruyor.
Rapor, saldırıya yol açan başarısızlıkları adli olarak ortaya çıkarıyor ve 25 öneride bulunuyor:
- Bunlardan dördü doğrudan Microsoft uygulamaları ve güvenlik kültürüyle tanımlanan kritik kurumsal hatalara odaklanıyor;
- Beşi, Google, AWS ve Oracle’daki tanımlanmış güçlü uygulamalarla uyum sağlamak için Microsoft Kimlik ve Erişim Denetimi modellerinde iyileştirmeler yapılmasını öneriyor;
- Bunlardan biri, CSRB’nin tüm CSP’ler için uygulanması gerektiğine inandığı minimum kayıt tutma ve denetim standartlarını ortaya koyuyor;
- Üçü, CSRB’nin tescilli Microsoft Identity teknolojilerinin saldırıya katkıda bulunduğunu belirlemesine bağlı olarak açık kimlik standartlarının kullanılmasını tavsiye ediyor;
- Yedisi, ABD hükümetine CSP’ler için bir şeffaflık yükümlülüğü getiriyor ve mağdur bildirimlerinin iyileştirilmesi için – diğer küresel yasama organlarının ABD hükümetinin ABD bulut sağlayıcı hizmetlerini görebilme becerisine ilişkin mevcut endişelerine ters düşmemeleri için bunların dikkatli bir şekilde uygulanması gerekebilir. ; Ve
- Beşi, Cloud Identity için NIST standartlarında olası değişiklikleri ve ABD FedRAMP modelinin yenilenmesini önermektedir; bunlardan ikincisi, dünya çapında genel bir fayda sağlamaktan ziyade esas olarak ABD hükümeti bulut kullanıcılarının güvenlik konumunu iyileştirecektir.
Son ‘beş soru’ yazımda Microsoft’un güvenlik duruşuyla ilgili bir soruyla açtım:
Microsoft kendisini doğası gereği güvenli bir platform olarak tanıtıyor; durum hâlâ böyle mi?
CSRB, Microsoft’un güvenlik duruşunun ve kültürünün bulut hizmeti sağlayıcılarına yönelik normların çok altında olduğunu belirterek bu soruya yanıt verdi; CSRB’nin, giderek daha karmaşık hale gelen yeni özelliklerin güvenli bir şekilde tanıtılabileceği onaylanana kadar oluşturulmasını askıya alması yönünde baskı yaptığı ölçüde.
Buna ek olarak CSRB, Storm-0558 saldırısının hangi yöntemlerle tamamlandığının hala bilinmediğini doğruladı ancak Microsoft’un 20 yıllık eski kimlik ürünlerine olan bağımlılığını, zayıf manuel anahtar yönetimi süreçlerini ve zayıf günlük kaydı ve denetimi temel zayıflıklar olarak belirledi. bunlar ve diğer saldırganlar tarafından istismar ediliyor.
Daha önce Microsoft’un Midnight Blizzard hackinden sonra platformunun %100 güvenli olduğunu hiçbir zaman kanıtlayamayacağını öne sürmüştüm ve CSRB, hem güvenlik konusunda ciddi olduğunu hem de bir kez güvenlik konusunda ciddi olduğunu kanıtlamak için bu zorluğu Microsoft Yönetim Kurulu’nun masasına koydu. yine güvenilir bir platform olarak kabul ediliyor.
Sorulacak beş soru
Microsoft’u kullanan kuruluşlar için şu anda sorabileceğimiz güncellenmiş beş soru şunlardır:
Microsoft’un sunduğu yeni ürünler güvenliğinizi geliştirdi mi yoksa zayıflattı mı?
Microsoft, Copilot LLM/AI tabanlı araçların ek ödeme karşılığında veya kurumsal lisanslarla paket halinde tüm müşterilere küresel olarak sunulmasını/genel kullanılabilirliğini başlattı.
Bununla birlikte, Copilot’un benimsenmesi evrensel olarak hoş karşılanmadı; ABD Kongresi, Copilot’un aldığı ve raporladığı verilerin kontrolüne ilişkin endişeleri gerekçe göstererek Copilot’u cihazlarından yasakladı.
CSRB raporu ve Microsoft’un Bill Gates’in 2002’deki “yeni işlevsellik yerine güvenlik ve gizlilik” paradigmasına geri dönmesi gerektiği yönündeki öneriler göz önüne alındığında, bu hizmetlerin Microsoft’un önerdiği faydaları sağladığını nereden biliyoruz?
Microsoft, ortamları izleyen AI destekli Security Copilot teknolojilerine rağmen Midnight Blizzard korsanlarının, bulunmadan önce 42 güne kadar sistemlerinde bulunduğunu doğruladı.
Yeni nesil yapay zeka güvenlik araçları agresif bir şekilde piyasaya sürüldü ve son altı ay içinde çoğu Microsoft müşterisi tarafından hızla benimsendi; ancak CSRB, temeldeki güvenlik ve güvenlik değerinin, bunların benimsenme riskine değmeyebileceğini öne sürerken haklı mı? ?
Bunları kullanarak güvenliğimizi gerçekten arttırıyor muyuz, yoksa sadece yanlış bir rahatlık hissi mi elde ediyoruz ve içlerindeki bilgiler, saldırganlar tarafından güvenlik açıklarını belirlemek veya yeni saldırılar düzenlemek için silah haline getirilebilir mi?
Gelecekte Microsoft hizmetleri aracılığıyla yapılacak saldırıların hedefi olabilir miyiz?
Microsoft daha önce altyapısına yapılan saldırıların müşteriler üzerinde oldukça sınırlı etkilere sahip olduğunu iddia ederken, aynı zamanda Ocak ayında “öncelikle ABD ve Avrupa’daki hükümetlere, diplomatik kuruluşlara, sivil toplum kuruluşlarına (STK’lar) ve BT hizmet sağlayıcılarına” dikkatli olmalarını tavsiye etti. Microsoft hizmetlerine yönelik saldırıların önlenmesi ve bu saldırıların ele geçirilip geçirilmediğinin nasıl belirleneceği konusunda onlara tavsiyelerde bulunulması (güvenlik tehdidi istihbarat blogu).
CSRB raporu daha da ileri giderek, Microsoft bulut platformlarında hizmet yürüten devlet kurumlarının ve kritik ulusal altyapı (CNI) operatörlerinin aslında Çinli ve diğer devlet destekli bilgisayar korsanları için önemli bir hedef olduğunu tespit ediyor.
Bu bakımdan, sınırlı yurt içi bulut hizmetlerine sahip olan ve devletin temel işlevleri için neredeyse yalnızca Microsoft ve AWS bulut platformlarına bağımlı olan Birleşik Krallık’ın muhtemelen müttefiklerine göre çok daha büyük bir risk altında olduğunu anlamamız önemlidir. ABD hükümeti, Microsoft bulutunu kapsamlı bir şekilde kullanıyor, ancak esas olarak Birleşik Krallık’ın kullandığı genel bulut platformu değil, ABD merkezli ve federal güvenceli FedRAMP tarzını kullanıyor.
Birleşik Krallık hükümetinin bugün Microsoft bulut platformundaki riske maruz kalma durumunu doğru bir şekilde anlaması pek olası değildir (ve bu aynı zamanda sivil toplum kuruluşları için de geçerli olabilir).
Geçtiğimiz on yıl boyunca Microsoft genel bulut hizmetlerinin Birleşik Krallık kamu sektörü tarafından benimsenmesi nispeten kısıtlamasız olmuşken, Microsoft’a yapılan kamu harcamalarının kayıtları genellikle iş ortaklarına ve hizmet entegratörlerine verilen sözleşmelerde yer almakta veya ‘lisans’ olarak listelenmekte ve bu nedenle hatalı olabilmektedir. .
Bulut tabanlı kimlik gibi tam olarak hangi Microsoft hizmetlerine güvendiğinizi anlamak artık her zamankinden daha önemli (hizmetlerin arızalanması veya kaybı durumunda geri dönüş mekanizmaları gibi).
Microsoft bulut altyapısında hangi uygulamalara ve hizmetlere sahip olduğunuzu ve bunların her birinde tam olarak hangi verilerin bulunduğunu bilmeniz de hayati önem taşımaktadır.
Hükümet düzeyinde, Birleşik Krallık’ın her kamu kurumu tarafından bulut kullanımına ilişkin uygun bir denetim yapması ve ulusal bir bilgi varlığı kaydı oluşturması gerekiyor.
Ancak her ikisine de sahip olduğumuzda ulusal risk duruşumuzu anlamayı umabiliriz.
Microsoft’la bağlantımızı kesmek zorunda kalsaydık, bu iş operasyonlarımız açısından ne anlama gelirdi?
Bu soru şu anda ilk kez gündeme getirdiğim zamanki kadar geçerli; ek olarak, daha önce Microsoft’ta bazı uzlaşma ve güvenlik zayıflıkları belirtileri olmuş olabilir; CSRB raporu artık bu olasılıkların her ikisinin de kanıtlanmış bir gerçek olduğunu doğruladı.
Buna ek olarak, yeni kullanıma sunulan Azure veya 365 hizmetlerini benimsemeye (veya bunlara güvenmeye) başlayan kuruluşlar, Microsoft’un bunları geri çekebileceği veya askıya alabileceği ihtimaline karşı hazırlıklı olmak isteyebilirler; ABD başkanına verilen tavsiyeler dikkate alındığında bunu yapmak zorunda kalabilirler. CSRB tarafından yapılan çalışmalar takip edilmektedir.
Bu nedenle, en son teknolojiye yapılan yatırımlar artık bazı ek riskler taşıyabilir veya proje planlarının gözden geçirilmesi gerekebilir.
Bu acil bir “hemen harekete geçme” riski değil; hizmetlerde büyük ölçekte kesintiler göreceğimizden şüpheliyim, ancak dikkatli bir şekilde izlenmeye değer. Gelecek özelliklerin daha uzun bir süre boyunca beta veya sınırlı ön izlemede kalması daha muhtemel olabilir.
Daha önce risk kabulüne dayalı olarak aldığımız kararlar hala geçerli mi?
Günümüzde tüm kuruluşlar bir dereceye kadar risk kabulü esasına göre çalışmaktadır ve bunu yapmak, koşullar değiştikçe risk konumumuzu düzenli olarak gözden geçirmemizi gerektirmektedir.
CSRB raporu, Microsoft’ta bir takım endişe verici davranışları ve güvenliğe düşük öncelik verilmesini tanımlamaktadır ve eğer risk kabulünüz kısmen Microsoft’un özünde iyi güvenlik uygulamalarına dayanıyorsa, o zaman CSRB raporunu okuyup yeniden karar vermeniz gerekip gerekmediğine karar vermeniz akıllıca olabilir. onları inceleyin.
Son zamanlarda Google, bulut için ‘paylaşılan sorumluluk modeli’ne bir alternatif duyurdu ve Microsoft’un bulutun güvenliğini sürdürme sorumluluğunun yeterince yerine getirilmediği göz önüne alındığında, Google Paylaşılan Kader’ modeli belki de dikkate alınmaya değer ve daha adil bir şekilde dengelenebilir.
Farklı bir bulut platformuna mı, hatta kendi kendine barındırmaya mı bakmalıyız?
CSRB, Microsoft’u son derece eleştirmiş olsa da, genel olarak bulut hizmetlerine genel olarak olumlu yaklaşıyor ve Google, AWS ve Oracle’daki belirli iyi uygulamalara dikkat çekiyor; bu da onların bir dağıtım modeli olarak buluta olan temel güvenlerinin güçlü kaldığını gösteriyor.
Sonuç olarak mevcut bulut sağlayıcınızdan ayrılmaya karar vermek zor bir seçimdir; bunun, sizin özel kullanımınız için doğası gereği güvensiz bir platform olduğuna inanmadığınız sürece, dikkatlice düşünmeden alınmaması gereken bir seçimdir.
Bazı devlet hizmetleri için CSRB raporuna dayanarak bu sonuca varmak mantıksız olmayacaktır; ancak öyle olsa bile, mevcut ortamda Microsoft’tan hiçbir devlet geçişinin kolay veya kabul edilebilir olması muhtemel değildir.
Ancak artık Microsoft platformunun daha fazla benimsenmesini duraklatmayı düşünmek ve hatta belki de CSRB raporu harekete geçinceye kadar bazı veri türlerinin kullanımına moratoryum uygulamak ve Microsoft’un tam olarak bu platformu kullanmasını düşünmek için sağlam bir temel var. tehlikeye atıldığı belirlendi.
Şimdi bile (saldırıdan dokuz ay sonra) CSRB, Microsoft’un Storm-0558’in Microsoft’un tanımlama hizmetlerini nasıl bu kadar derinden istila edebildiğine dair hala net bir anlayışa sahip olmadığını tespit etti ve bu hepimizi endişelendirmeli.
Amerikan analizinin ayrıntılı bulguları ve raporda NCSC araştırmalarına düzenli olarak atıfta bulunulması göz önüne alındığında, Birleşik Krallık hükümetinin bu rapora göre anlamlı bir şekilde harekete geçmemesi akıllıca olmayacaktır.
Her ne kadar HMG’nin Önce Bulut politikası sıklıkla hizmetleri genel buluta taşımanın gerekçesi olarak gösterilse de, bunun bunu yapmayı seçen kamu kurumlarından beklenen kanıta dayalı kararlarla dengelenmesi gerekiyor.
NCSC Bulut Güvenliği İlkeleri, genel bulut kullanımının doğru seçim olmayabileceği çeşitli kullanım durumlarını ve uyarıları tanımlar, ancak çok az kuruluş ilkeleri amaçlandığı şekilde kullanır (bir onay kutusu uyumluluğu yerine uygun bir bulut platformunu değerlendirmek ve seçmeye yardımcı olmak için). egzersiz yapmak.
Sonuç olarak
Genel bulut hizmetlerini kullanmak her zaman risk ve ödül arasında bir denge kurma egzersizi olmuştur ve şu an için CSRB raporu Microsoft’un kullanımından elde edilecek ödüllerin birçok kuruluş için ve ilk kez bu bulut hizmetinden biraz daha ağır basabileceğini öne sürüyor. kurumsal kültürlerinden ve zayıf güvenlik uygulamalarından kaynaklanan riskler.
Microsoft’un hem ticari hem de kamu sektöründeki müşterilerinin karşı karşıya olduğu karar şu anda budur: CSRB raporunun ışığında, Microsoft’a duyulan güven artık yersiz mi?
Microsoft bulutuna olan bağımlılığımızı denetlememiz veya azaltmamız mı gerekiyor, yoksa yine de devam edip bir sonraki devlet destekli saldırıda hataya düşmeyeceğimizi mi ummalıyız?