Yönetişim ve Risk Yönetimi, BT Risk Yönetimi, Eski Altyapı Güvenliği
Uzmanlar, Teknoloji Devinin E-posta Hacklemesinin Ardından Gelecekteki Siber Saldırı Potansiyeliyle Karşı Karşıya Olduğu Uyarısında Bulundu
Chris Riotta (@chrisriotta) •
22 Ocak 2024
Rus devlet korsanlarının ilk erişim elde etmek için karmaşık olmayan bir hackleme tekniği kullanarak üst düzey Microsoft yöneticilerinin gelen kutularına sızdıkları haberi, bilgisayar devini bir kez daha güvensizlikle anılan bir kelimeye dönüştürdü.
Ayrıca bakınız: İsteğe Bağlı Panel | OT Güvenliğini HCLTech ve Microsoft ile Güçlendirme
Kasım ayında başlatılan bir girişim de dahil olmak üzere onlarca yıldır süren güvenlik revizyonları, Microsoft’un Cuma günü, Kremlin korsanlarının Kasım ayının sonlarından itibaren şirketin siber güvenlik ve hukuk departmanlarındaki üst düzey yöneticilerden ve çalışanlardan e-postaları ve belgeleri sızdırdığını açıklamasıyla kamuya açık bir darbe aldı (bkz.: Microsoft: Rus Hackerlar Yöneticilerin E-postalarına Erişebildi).
Microsoft, Midnight Blizzard olarak takip edilen ve APT29 ve CozyBear olarak da bilinen bir tehdit aktörüne ait olan bilgisayar korsanlarının, “Midnight Blizzard ile ilgili bilgileri” toplamak için “Microsoft kurumsal e-posta hesaplarının yalnızca çok küçük bir yüzdesini” hedeflediklerini vurguladı.
Şirket, “Şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine erişimi olduğuna dair hiçbir kanıt yok” dedi.
Gece yarısı yama çılgınlığı için SOC’lerin karıştırılmasını gerektiren hiçbir şey duyurulmadı. Ancak olay yine de şirketin kendisini ve müşterilerini güvence altına alma becerisine ilişkin soruları tetikledi ve aynı zamanda her büyük işletmenin dikkate alması gereken bir ders de verdi.
Microsoft Üzerinden Güvenlik Kaygılarının Artması
Rusya’nın hacklenmesi, Microsoft’u etkileyen en son büyük güvenlik olayıdır. Redmond devi, 2023 yılında bir grup Çinli hackerın, federal kurumları ve diğer büyük kuruluşları hedef alan bir istihbarat toplama kampanyasının parçası olarak müşterilerinin e-posta sistemlerine yetkisiz erişim elde ettiğini açıkladı.
Şirket, hacklemenin ardından milletvekilleri ve halktan artan eleştirilerle karşı karşıya kaldı. Newsweek, senatörlerin ihlalin boyutu hakkında daha fazla ayrıntı talep eden iki partili bir mektup yazdıklarını bildirdi. Her iki partiden 14 senatör, e-posta güvenliğini sağlamak için yalnızca Microsoft’a olan yoğun bağımlılığın ihlalin sağlanmasına yardımcı olduğunu ileri sürdü. Dışişleri Bakanlığı Baş Bilgi Sorumlusu Kelly Fletcher’a yazdıkları bir mektupta, bakanlığın “sınıflandırılmamış e-postalar için birden fazla siber güvenlik sağlayıcısını içeren daha sağlam, katmanlı bir siber güvenlik mimarisini nasıl sağlayacağına” ilişkin ayrıntılar sordular.
Microsoft daha sonra, yalnızca kritik günlük bilgileri için ödeme yapan müşterilerin Çin casusluk kampanyasını tespit edebildiği yönündeki eleştirilerin ardından, hükümet ve ticari müşterilere hiçbir ek maliyet getirmeden bulut günlük kaydı yeteneklerine erişimi genişletti (bkz.: Microsoft, Çin Hack Blowback’inden Sonra Günlük Erişimini Genişletiyor).
Uzmanlar, Bilgi Güvenliği Medya Grubu’na, olayın Microsoft’u Kremlin bağlantılı bilgisayar korsanlığı gruplarının gelecekteki saldırılarına karşı savunmasız bırakabileceğini söyledi.
Güvenlik firması CrowdStrike’ın baş teknoloji sorumlusu Elia Zaitsev, en son saldırıyı “ihlaller barajının en yenisi” olarak nitelendirdi ve Rusya bağlantılı siber grubun “Microsoft’un ağlarını nasıl hedef alacağını ve bunlara nasıl gireceğini anladığını” ve bununla ilgili sorunların altını çizdiğini ekledi. bulut altyapılarını güvence altına alma yetenekleri.”
Microsoft’un güvenlik ekibi bir blog yazısında Midnight Blizzard’ın genellikle aynı şifre tahminini birden fazla hesapta çalıştırmayı içeren bir kaba kuvvet hackleme yöntemi olan şifre püskürtme saldırısı kullandığını ve eski bir üretim dışı test aracılığıyla sistemlerinde bir yer edindiğini söyledi. kiracı hesabı.
Görünüşe göre bilgisayar korsanları, 12 Ocak’ta ihlal fark edilene kadar birkaç hafta boyunca tespit edilmekten kaçınarak Microsoft hesaplarına erişim sağladılar. Microsoft, yorum talebine hemen yanıt vermedi.
Teknoloji Devi Siber Saldırıların Giderek Önemli Hedefi Oluyor
Her ne kadar Apple, Verizon ve Sony gibi büyük teknoloji şirketleri, çok sayıda hassas kullanıcı verisine erişimleri nedeniyle siber saldırıların önemli hedefleri olsa da uzmanlar, Microsoft’un tehdit istihbaratı ve veri güvenliği operasyonları nedeniyle özellikle savunmasız kaldığını söyledi.
Contrast Security’nin siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, Kremlin korsanlarının, şirketin ABD’ye karşı devam eden Rus siber isyanını tasvir eden ufuk açıcı tehdit araştırması nedeniyle Microsoft’u hedef aldığını söyledi.
“Microsoft’un altyapısının artık adalara atlamak için kullanılabileceğinden endişeleniyorum [its] Müşteriler,” dedi Kellerman ISMG’ye.
Miras, Sektörler Arasında Hala Kritik Güvenlik Sorunları Oluşturuyor
Ulusal Siber Güvenlik İttifakı’nın genel müdürü Lisa Plaggemier, ihlalin eski araçların, hesapların ve BT altyapısının her tür kuruluş için hala kritik güvenlik açıkları oluşturabileceğine dair daha fazla kanıt sağladığını söyledi.
ISMG’ye konuşan Plaggemier, “E-posta hesaplarına erişim sağlamak için şifre püskürtme saldırısının kullanılması, eski sistemlerin güncellenmesi ve güvenliğinin sağlanmasının öneminin altını çiziyor” dedi ve Midnight Blizzard’ın “daha ileri hedefli saldırılar” için son hackleme sırasında elde ettiği içgörülerden yararlanabileceğini ekledi. “Microsoft’un sistemlerine daha derin erişim sağlamak için.”
Parola püskürtme saldırıları eski hesaplarda daha etkilidir; çünkü bu sistemler genellikle çok faktörlü kimlik doğrulama gereksinimlerine sahip değildir, güncelliğini yitirmiş güvenlik önlemlerine sahiptir ve genellikle kuruluşlar daha modern parola politikalarını uygulamaya başlamadan önce kurulmuştur. Microsoft, hack olayını araştırmaya devam ederken, mevcut güvenlik standartlarını eski sistemlere – “bu değişiklikler mevcut iş süreçlerinde kesintiye neden olsa bile” – uygulamayı planladığını söyledi.
Plaggemier, “Bu olay, kuruluşların siber güvenlik altyapılarını modernleştirmeye öncelik vermeleri gerektiğinin açık bir hatırlatıcısıdır” dedi.
Zaitsev, olayın “Microsoft’un eski teknolojilere destek vermemesinin yarattığı sürekli sistemik riske” işaret ettiğini ve “en iyi temel güvenlik uygulamalarının göz ardı edildiğini” gösterdiğini söyledi.
Zaitsev, Microsoft’un eski sistemlerine daha fazla destek sağlamadan mevcut operasyonlarına devam etmesi halinde şirketin ve müşterilerinin “yabancı düşmanların ve karmaşık suç gruplarının saldırgan saldırılarının kurbanı olmaya devam edeceğini” söyledi.
“Microsoft’un güvenlik uygulamalarında eski işletim sistemleri ve eski sistemlere göre büyük boşluklar var ve günümüzün rakiplerini durdurmak için gereken kapsamdan yoksun” dedi. “Kendi eski teknolojilerine daha sıkı güvenlik standartları uygulamaya dair belirsiz imalara rağmen, geçmişleri ve eylemleri, müşterileri gerekli yatırımları yapmak yerine yükseltmeye zorlayarak kârlara öncelik vermeye devam ettiklerini gösterdi.”