Microsoft ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Çarşamba günü yaptığı duyuruya göre, Eylül 2023’ten itibaren daha fazla federal hükümet ve ticari Microsoft müşterisi, genişletilmiş bulut günlük kaydı özelliklerine hiçbir ek ücret ödemeden erişebilecek.
Duyurular, geçen hafta sofistike bilgisayar korsanlarının 25 kuruluş ve devlet kurumundaki çalışanların e-posta hesaplarını ele geçirdiğinin ortaya çıkmasının ardından geldi. Bunu, Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access aracılığıyla hesaplara erişmelerini sağlayan geçerli kimlik doğrulama belirteçleri oluşturmak için bir belirteç doğrulama sorunundan yararlanarak yaptılar.
Alt düzey Microsoft müşterileri için genişletilmiş bulut günlüğü varsayılanları
Microsoft’un Çinli devlet destekli saldırganlara tespit ettiği izinsiz giriş, bir ABD Federal Sivil Yürütme Şubesi biriminin şüpheli günlük olayları bulduktan sonra bunu tespit etmesinden önce bir ay sürdü.
Microsoft, saldırganların belirteçleri oluşturmak için kullandıkları MSA tüketici imzalama anahtarını nasıl ele geçirdiklerini hâlâ söylemese de (veya bilmese de) – infosec topluluğunun çevrimiçi itirazından sonra – müşterilerin karmaşık saldırıları belirlemek için çok önemli olan günlükler için ödeme yapmasının şirket için kötü tanıtım yarattığını açıkça fark etti.
Şirket, “Önümüzdeki aylarda, dünya çapındaki müşterilerimiz için ek ücret ödemeden daha geniş bulut güvenlik günlüklerine erişim sunacağız” dedi.
Müşteri kuruluşlarında oluşturulan bulut günlüğü verileri, Microsoft Purview Denetimi aracılığıyla görüntülenebilir.
Şirket, “Düzinelerce Microsoft 365 hizmetinde ve çözümünde gerçekleştirilen binlerce kullanıcı ve yönetici işlemi yakalanır, kaydedilir ve müşterilerin birleştirilmiş Purview Denetim günlüklerinde tutulur” dedi.
“Genişletilmiş günlük kaydı varsayılanlarımız kullanıma sunuldukça, Microsoft Purview Denetimi (Standart) müşterileri, ayrıntılı e-posta erişimi günlükleri ve daha önce yalnızca Microsoft Purview Denetimi (Premium) abonelik seviyesinde mevcut olan 30’dan fazla başka günlük verisi türü dahil olmak üzere güvenlik verilerine ilişkin daha derin görünürlük elde edecek. Yeni günlüğe kaydetme olaylarının kullanıma sunulmasına ek olarak Microsoft, Audit Standard müşterileri için varsayılan saklama süresini 90 günden 180 güne çıkarıyor.”
“Tedarikçiler belirli bulut lisanslama düzeylerinde daha geniş günlük kaydı erişimi sunabilse de, bu yaklaşım izinsiz girişlerin araştırılmasını zorlaştırıyor. Kuruluşlardan gerekli günlük kaydı için daha fazla ödeme yapmalarını istemek, siber güvenlik olaylarının soruşturulmasında yetersiz görünürlük için bir reçetedir ve düşmanların Amerikan kuruluşlarını hedef almada tehlikeli düzeylerde başarı elde etmelerine izin verebilir,” yorumunda bulundu CISA’da Siber Güvenlikten Sorumlu Direktör Yardımcısı Eric Goldstein.
“Her kuruluşun, tasarım gereği güvenli ve ‘kutudan çıkar çıkmaz’ gerekli güvenlik verileriyle birlikte gelen ürünlere sahip olmayı hak ettiğine inanıyoruz. Microsoft’un bugünkü duyurusu, topluluklarımızın, şirketlerimizin ve ülkemizin güvenliğini ilerletmede ileriye dönük önemli bir adımdır ve ortak çalışmalarımızın henüz gelmediğini kabul eder.”