Microsoft Çarşamba günü, e-posta altyapısını hedef alan yakın tarihli bir casusluk saldırısı kampanyasının ardından eleştirilerle karşılaşan kuruluşların siber güvenlik olaylarını araştırmasına ve daha fazla görünürlük kazanmasına yardımcı olmak için bulut günlüğü yeteneklerini genişlettiğini duyurdu.
Teknoloji devi, ulus devlet siber tehditlerinin artan sıklığına ve gelişimine doğrudan yanıt olarak değişiklik yaptığını söyledi. Eylül 2023’ten itibaren tüm resmi ve ticari müşterilere sunulması bekleniyor.
Microsoft’ta güvenlik, uyumluluk, kimlik ve yönetimden sorumlu kurumsal başkan yardımcısı Vasu Jakkal, “Önümüzdeki aylarda, dünya çapındaki müşterilerimiz için ek bir ücret ödemeden daha geniş bulut güvenlik günlüklerine erişim sunacağız” dedi. “Bu değişiklikler yürürlüğe girdikçe müşteriler, kuruluşları genelinde oluşturulan daha fazla türde bulut günlüğü verisini merkezi olarak görselleştirmek için Microsoft Purview Denetimini kullanabilir.”
Bu değişikliğin bir parçası olarak, kullanıcıların ayrıntılı e-posta erişimi günlüklerine ve daha önce yalnızca Microsoft Purview Denetim (Premium) abonelik düzeyinde mevcut olan 30’dan fazla başka türde günlük verisine erişmesi bekleniyor. Bunun da ötesinde, Windows üreticisi, Audit Standard müşterileri için varsayılan saklama süresini 90 günden 180 güne uzattığını söyledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), “önemli günlük verilerine erişime sahip olmanın siber saldırıları hızla azaltmak için önemli olduğunu” ve “tasarım ilkelerine göre güvenliği ilerletmeye yönelik önemli bir adım” olduğunu belirterek bu hareketi memnuniyetle karşıladı.
Gelişme, Çin dışında faaliyet gösteren Storm-0558 adlı bir tehdit aktörünün Microsoft Exchange ortamındaki bir doğrulama hatasından yararlanarak 25 kuruluşu ihlal ettiğinin ifşa edilmesinin ardından geldi.
Etkilenen kuruluşlardan biri olan ABD Dışişleri Bakanlığı, özellikle MailItemsAccessed posta kutusu denetleme eylemini kullanarak Microsoft Purview Denetiminde gelişmiş günlük kaydı sayesinde Haziran 2023’te kötü amaçlı posta kutusu etkinliğini tespit edebildiğini ve Microsoft’tan olayı araştırmasını istediğini söyledi.
Ancak etkilenen diğer kuruluşlar, hack’i araştırmak için çok önemli olacak çeşitli günlük türlerine yükseltilmiş erişimle gelen E5/A5/G5 lisanslarının abonesi olmadıkları için ihlal edildiğini tespit edemediklerini söylediler.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Aktör tarafından düzenlenen saldırıların 15 Mayıs 2023’te başladığı söyleniyor, ancak Redmond, rakibin en az Ağustos 2021’den beri Microsoft hesaplarına karşı OAuth uygulamaları, jeton hırsızlığı ve jeton yeniden oynatma saldırıları için bir eğilim sergilediğini söyledi.
Bu arada Microsoft izinsiz girişleri araştırmaya devam ediyor, ancak bugüne kadar şirket, bilgisayar korsanlarının Exchange Online (OWA) ve Outlook.com’da Outlook Web Access’i kullanarak kimlik doğrulama belirteçleri oluşturmak ve müşteri e-posta hesaplarına yasa dışı erişim elde etmek için etkin olmayan bir Microsoft hesabı (MSA) tüketici imzalama anahtarını nasıl ele geçirdiklerini açıklamadı.
Microsoft geçen hafta “Storm-0558 kampanyalarının çoğunun amacı, hedeflenen kuruluşların çalışanlarına ait e-posta hesaplarına yetkisiz erişim elde etmektir” dedi.
“Storm-0558, istenen kullanıcı kimlik bilgilerine eriştiğinde, aktör, güvenliği ihlal edilmiş kullanıcının bulut e-posta hesabında geçerli hesap kimlik bilgileriyle oturum açar. Ardından, aktör, web hizmeti üzerinden e-posta hesabından bilgi toplar.”