Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Yeni Nesil Teknolojiler ve Güvenli Geliştirme
E3 Lisans Sahipleri, Yalnızca E5 İstemcileri Hack’i Belirledikten Sonra Daha Fazla Bulut Günlüğüne Erişimin Kilidini Açar
Micheal Novinson (Michael Novinson) •
19 Temmuz 2023
Microsoft müşterileri, daha düşük seviyedeki müşterilerin bir Çin siber saldırısını tespit edememesinden sadece birkaç gün sonra, genişletilmiş bulut günlük kaydı özelliklerine hiçbir ek ücret ödemeden erişim elde edecek.
Ayrıca bakınız: Artık İçeriden İş Yok: Bankalarda İçeriden Gelen Tehditleri Durdurmak
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, ticari müşteriler için E3 veya devlet müşterileri için G3 olarak bilinen Microsoft temel kurumsal lisansını kullanan şirketler için şu anda ekstra maliyetli olan – tehdit etkinliğini tespit etmek ve önlemek için kritik olan – birkaç güvenlik günlüğü belirledi. Eylül ayından itibaren, ek günlük kaydı özellikleri, devlet ve ticari müşteriler için hiçbir ek ücret ödemeden kullanıma sunulacak.
CISA Yönetici Asistanı Eric Goldstein bir blog gönderisinde “Kuruluşlardan gerekli günlük kaydı için daha fazla ödeme yapmalarını istemek, siber güvenlik olaylarını soruşturmada yetersiz görünürlük için bir reçetedir.” “Her kuruluşun, tasarımı gereği güvenli olan ve ‘kutudan çıkar çıkmaz’ gerekli güvenlik verileriyle birlikte gelen ürünlere sahip olmayı hak ettiğine inanıyoruz. Microsoft’un bugün yaptığı duyuru önemli bir adım.”
‘Emniyet Kemeri ve Hava Yastığı İçin Ek Ücret’
Microsoft’un teslim olması, teknik olarak gelişmiş bir Çin casusluk kampanyasını tespit etmek için gereken kritik günlük bilgilerinin yalnızca Microsoft’un ticari müşteriler için E5 veya devlet müşterileri için G5 olarak bilinen en üst düzey bulut hizmetini satın alanların kullanımına sunulmasından bir haftadan kısa bir süre sonra geldi. The Wall Street Journal’ın bildirdiğine göre, E5 Microsoft 365 lisanslama maliyeti E3 paketinden yaklaşık %60 daha fazladır.
“Kuruluşlardan gerekli günlük kaydı için daha fazla ödeme yapmalarını istemek, yetersiz görünürlük için bir reçetedir.”
– Eric Goldstein, Direktör Yardımcısı, CISA
İleride, Microsoft Kurumsal Başkan Yardımcısı Vasu Jakkal bir blog yazısında, tüm Microsoft Purview Denetim müşterilerinin, ayrıntılı e-posta erişimi günlükleri ve 30’dan fazla başka günlük verisi türü dahil olmak üzere güvenlik verilerine ilişkin daha derin görünürlük elde edeceğini yazdı. Jakkal ayrıca Microsoft’un E3 veya G3 lisanslarına sahip müşteriler için varsayılan saklama süresini 90 günden 180 güne çıkardığını yazdı.
Jakkal, “Günlük verileri, farklı kimliklerin, uygulamaların ve cihazların bir müşterinin bulut hizmetlerine nasıl eriştiğine ilişkin ayrıntılı, denetlenebilir bilgiler sağladığı için olay yanıtında önemli bir rol oynuyor” diye yazdı. “Bu günlüklerin kendisi saldırıları önlemez, ancak bir izinsiz girişin nasıl gerçekleşmiş olabileceğini incelerken dijital adli tıpta ve olay müdahalesinde yararlı olabilirler.”
Çin’in Microsoft Office’teki sıfır günlük bir güvenlik açığından yararlandığı 11 Temmuz’da açıklandı. ABD Dışişleri ve Ticaret departmanları da dahil olmak üzere dünya çapında 25 farklı kuruluşu etkiledi. CISA’nın 12 Temmuz’da yayınlanan bir siber güvenlik danışma belgesinde kritik altyapı kuruluşlarına ilk tavsiyesi, “Purview Denetim (Premium) günlüğe kaydetmeyi etkinleştirmek” oldu. Ancak CISA’nın dediği gibi, bu günlük kaydı bir E5 veya G5 lisansı gerektirir (bkz: Hacker İmza Anahtarını Çaldı, ABD Hükümetinin Microsoft 365’ini Vurdu).
D-Ore’den Senatör Ron Wyden, geçen hafta The Wall Street Journal’a verdiği demeçte, “Güvenli olmayan ürünler sunmak ve ardından saldırıya uğramamak için gerekli olan premium özellikler için insanlardan ücret almak, bir araba satıp ardından emniyet kemerleri ve hava yastıkları için fazladan ücret almaya benzer.”
“Elimizde Bulunan Verilerle Olay Görünmez Oldu”
Ancak değişikliklerden sonra bile E5 ve G5 müşterileri, E3 veya G3 muadillerinde bulunmayan günlük kaydı özelliklerine erişebilecek. Jakkal’a göre, yalnızca birinci sınıf müşterilere sunulan avantajlar arasında daha uzun varsayılan saklama süreleri, günlük verilerinin diğer analiz araçlarına aktarılması için otomatik destek ve potansiyel uzlaşmanın kapsamını belirlemeye yardımcı olan akıllı içgörüler yer alacak.
The Wall Street Journal, Microsoft’un Çin’deki son bilgisayar korsanlığı kampanyasından haberdar olduğunda, hedeflenen kuruluşların E5 veya G5 lisansı olmasa bile kurbanları tespit edebildiğini söyledi. Ancak Microsoft, Volexity’ye müşterilerinden birinin hack kurbanı olduğunu söyledikten sonra bile, Başkan Steven Adair 12 Temmuz’da Twitter’da siber güvenlik firmasının herhangi bir doğrulayıcı kanıt bulamadığını yazdı (bkz: Çin Merkezli Hacker, AB ve ABD Hükümeti E-postalarını Ele Geçirdi).
Adair, “Soruşturmamızın hiçbir sonuç vermediği ortaya çıktı çünkü bizim için bulabileceğimiz hiçbir şey yoktu” dedi. yazdı. “Elimizdeki verilerle olay bizim için görünmezdi ve bunun nedeni müşterinin M365 lisans düzeyi olan E3 idi. Saldırganın e-postalara eriştiği ortaya çıktı. Genel olarak konuşursak, bu günlük işlemi E3 lisans sahipleri tarafından kullanılamıyor ve daha pahalı E5/G5 planlarından sağlanan ek günlük kaydı gerektiriyor.”
Bu, Microsoft’un yasa koyucuların veya düzenleyicilerin gerekli gördüğü güvenlik özellikleri için daha fazla ücret talep ettiği için ilk kez ateş altında kalmıyor. Rus bilgisayar korsanlarının federal çalışanların e-postalarına erişim sağlamak için Microsoft’un bulut platformunu kandırdıkları SolarWinds kampanyasından sonra CISA, Microsoft lisanslarını yükseltmek için COVID-19 yardım fonlarından aldığı 650 milyon doların “önemli bir bölümünü” harcamak için harekete geçti.
Dönemin Meclis İç Güvenlik Başkanı Benny Thompson’ın bir yardımcısı, Mart 2021’de Politico’ya, özellikle ek ücretlerin maliyet odaklı değil kâr odaklı olması durumunda, “temel güvenlik özelliklerini bir eklenti haline getirme konusunda ciddi endişeleri” olduğunu söyledi. Yardımcı, Politico’ya “Bildiğimiz kadarıyla Boeing kara kutu için ekstra ücret almıyor” dedi.