Yazılım devi Microsoft, Ocak 2024’ün ortasında, koordineli ve hedefe yönelik bir bilgi toplama çalışmasının parçası olarak sistemlerine Rusya destekli hack grubu Midnight Blizzard tarafından 2023’ün sonunda başarıyla sızıldığını açıkladı.
Microsoft, saldırının ayrıntılarını 19 Ocak 2024 Cuma günü çevrimiçi olarak yayınlanan bir bildiriyle doğruladı; burada saldırının ilk olarak 12 Ocak 2024’te tespit edildiği ve dahili yanıt süreçlerinin anında etkinleştirilmesinin, bilgisayar korsanlarını derhal ortadan kaldırabildiği anlamına geldiğini açıkladı. sistemler.
“Şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zekaya erişimi olduğuna dair hiçbir kanıt yok” [artificial intelligence] sistemleri” dedi Microsoft yaptığı açıklamada.
“Herhangi bir işlem yapılması gerekiyorsa müşterilerimize bilgi vereceğiz. Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu sürekli riskin altını çiziyor.”
Microsoft, saldırı sırasında hiçbir müşteri verisinin veya hizmetinin riske atılmadığını açıklamasında açıkça belirtmiş olsa da Microsoft, 25 Ocak 2024’te Güvenlik Tehdit İstihbaratı Blogunda, saldırıyla ilgili soruşturmanın hala devam ettiğini belirten daha kapsamlı bir uyarı yayınladı. saldırının etkisine ilişkin daha fazla ayrıntı hala gün ışığına çıkabilir.
Sonuç olarak, Microsoft’un bulut hizmetlerinin kurumsal kullanıcılarının bu saldırının ardından CIO’larına, CTO’larına ve CISO’larına sormaları gereken beş soruyu burada bulabilirsiniz.
-
Microsoft kendisini doğası gereği güvenli bir platform olarak tanıtıyor; durum hâlâ böyle mi?
Bu önemli bir soru çünkü bir şirketin risk profili her halükarda sürekli olarak yeniden değerlendirmeye tabi tutulmalı ve son Microsoft saldırıları telaşı onların risk radarında olmalı.
Microsoft’un artık tüm bulut ortamının temiz ve bilgisayar korsanlarından arınmış olduğunu nasıl %100 garanti edebileceği (ya da edip edemeyeceği) açık değil ve Microsoft, Çin ve Rusya destekli bilgisayar korsanlığı grupları tarafından birçok kez başarıyla saldırıya uğradığını bildirdi.
-
Microsoft’un kullandığı güvenlik kontrollerinin aynısına mı güveniyoruz?
Microsoft, Midnight Blizzard korsanlarının, bulunmadan önce 42 güne kadar sistemlerinde bulunduğunu açıkladı; üstelik bu, onları izlemek için benzersiz küresel güvenlik kaynaklarına ve yapay zeka destekli güvenlik yardımcı pilot teknolojilerine sahip olmalarına rağmen gerçekleşti.
Microsoft’un ihlalle ilgili ayrıntılı açıklaması, şirketin hack’i bu yeni nesil güvenlik araçları aracılığıyla değil, yalnızca Exchange günlüklerini inceleyerek bulduğunu gösteriyor.
Bu araçlar son altı ayda agresif bir şekilde piyasaya sürüldü ve çoğu Microsoft müşterisi tarafından hızla benimsendi, ancak şirketin güvenlik teknolojisinin bu gerçek dünya testinde muhtemelen başarısız olduklarını söylemek doğru olur.
Şirketlerin, savunmalarını güçlendirmeleri gerektiğinde Microsoft’un güvenlik yeteneklerine ne kadar bağımlı olduklarını anlamaları gerekiyor.
-
Bir şirket kendisinin de bu saldırıdan zarar görmediğinden ne kadar emin olabilir?
Microsoft, herhangi bir müşteriye zarar verildiğine dair bir kanıt olmadığını söyledi ancak bir ulus-devlet hackerının BT altyapısında özgürce dolaşmak için altı haftası varsa, kendilerini sınırlamaları pek olası değil.
Microsoft güvenlik tehdidi istihbaratı blogunda şirket, “öncelikle ABD ve Avrupa’daki hükümetlere, diplomatik kuruluşlara, sivil toplum kuruluşlarına (STK’lar) ve BT hizmet sağlayıcılarına” saldırılardan haberdar olmalarını ve bu saldırıların gerçekleştirilip gerçekleştirilmediğini nasıl tespit edeceklerini tavsiye etti. benzer şekilde tehlikeye girmiştir.
Bu, Microsoft’un saldırıların kendi kurumsal ortamının ötesine geçtiğine inandığını gösterebilir.
-
Microsoft’la bağlantımızı kesmek zorunda kalsaydık, bu iş operasyonlarımız açısından ne anlama gelirdi?
Microsoft bulut platformları Azure ve Microsoft 365 küreseldir ve bölgesel olarak bölümlere ayrılmamıştır. Bu nedenle, bir saldırganın etkilerini ayıracak ‘yangın kesicilere’ veya su geçirmez kapılara sahip olmaları gerekmez.
Kuruluşlar Microsoft bulutuna bağlandıklarında bunu genellikle ağ eşleme yaklaşımıyla yaparlar ve ağ adresleme ve dizin hizmetlerini kurumsal ağlarının bir uzantısı olarak buluta genişletirler.
Bu, Microsoft’un bulut hizmetlerinin geçici olarak askıya alınmasının bile iş operasyonları üzerinde ciddi bir etki yaratabileceği anlamına geliyor. İşletmenin Microsoft ile sürekli bağlantı kurmaya ne kadar kararlı olduğunu anlamak, bir şirketin toplam risk ve risklerini yönetmenin önemli bir parçasıdır.
-
Yukarıdakiler göz önüne alındığında, gerçek maruz kalma düzeyimiz nedir?
Bu, büyük ölçüde bir işletmenin Microsoft bulutunu ne için kullandığına ve bu kullanımın ne kadar yüksek profilli olabileceğine ve ilgili kuruluşun doğasına bağlıdır.
Birçok şirket, kullanıcı kimlikleri gibi temel dahili bilgilerin bir işletme için ne kadar değerli olduğunu anlamakta zorluk çeker ve ayrıca fikri mülkiyet haklarını (IPR) ve kuruluşun düzenlemeye tabi bir sorumluluğa sahip olabileceği tüm verileri de dikkate almanız gerekir.
Son olarak, Microsoft’u ilgilendiren herhangi bir güvenlik sorununun varsayılan olarak küresel bir haber olduğunu ve bu nedenle de kullanıcıların itibar riski değerlendirmelerinde dikkate alınması gerektiğini unutmayın.