Microsoft hoiatas inimõiguste organisatsiooni, et see ohustati osana a Juulikuu e-posti rikkumine, mille põhjuseks on Storm-0558, kuid organisatsioon ei leidnud oma logidest mingeid tõendeid kompromissi kohta. Miks? See ei maksnud Microsoftile lisatasu E5-taseme litsentsi eest.
See on lugu, mille Steven Adair koos Volexityga Twitteris jutustas, tõstes esile logimisele juurdepääsu puudumine enamiku Microsofti klientide jaoks, kellel pole E3 litsentse.
"See juhtum oli meie jaoks tõeline peamurdja," kirjutas Adair. "Intsidentide ja kahtlase tegevuse uurimine riigis Microsoft 365 ja Azure AD on midagi, mida me (Volexitys) sageli teeme. Vaatamata Microsofti teatele volitamata juurdepääsu kohta ei leidnud me siiski ühtegi kinnitavat tõendit.
Probleem? Volexity meeskonnal ei olnud juurdepääsu inimõiguste organisatsiooni E3 litsentsiga logimistõenditele.
"Selgub, et ründaja pääses e-kirjadele juurde ja see aktiivsuse tase logiti toimingusse "MailItemsAccessed", lisas ta. "Kuid üldiselt pole see logitoiming E3 litsentsidele saadaval ja see nõuab täiendavat logimist, mis on saadaval ainult kallimate E5/G5 plaanide puhul."
Adair märkis, et e-kirjade logimine peaks ohumaastikku arvestades olema tabeli panused, nagu tõendab CISA 12. juuli juhend APT-taseme tegevuse tuvastamiseks, mis soovitab võimaldab esmaklassilist E5-taseme logimist. Kuid Microsofti sõnul on an Office 365 E3 litsents maksab 23 dollarit kasutaja kohta kuus, samas kui E5 maksab 38 dollarit kasutaja kohta kuus, mis Adair märkis, et see on paljude organisatsioonide jaoks liiga kallis.
Microsoft ei vastanud kohe Dark Readingi kommentaaritaotlusele.
Microsofti käimasolev metsaraiemaks
Kuigi hiljutine Torm-0558 rikkumine rõhutab andmete lahknevusi nende küberjulgeoleku "omade" vahel, mis saavad endale lubada E5 litsentsi, ja nende vahel, millel "ei ole", nagu sihikule võetud inimõiguste rühm, küberturvalisuse eksperdi Jake Williamsi sõnul pole probleem uus. Kuid pärast viimast kampaaniat, mis mõjutas ka 25 USA föderaalvalitsusasutust, võib Microsoft peagi tunda survet sellega midagi ette võtta.
"Täiustatud logimine, mis on saadaval ainult E5 litsentsiga (või turvalisuse ja vastavuse lisalitsentsiga E3-ga), on olnud aastaid pinnuks silmas intsidentidele reageerijatele ja rikkumistreeneritele," selgitab Williams Dark Readingile. "BEC-i (ärimeili kompromissi) tabanud organisatsioonid eeldavad, et nad näevad, milliseid sõnumeid ohustaja vaatas, kuid ei saa ilma täiustatud logimiseta."
Ta lisab, et mõnel juhul võib esineda lahknevusi ka selles, mis on saadaval kontopõhiselt: „Organisatsioonil võib olla ainult mõnel kontol E5-litsents, mis põhjustab ebaühtlust selles osas, milliseid tegevusi nad kontopõhiselt näevad. alus."
Williams rõhutab, et ainuüksi tasulised logid poleks Storm-0558 pahatahtlikku tegevust täpselt tuvastanud. Sellegipoolest selgitas Volexity Adair, et "kogu selle toimingu paljastas FCEB agentuur [tänu] MailItemsAccessed logitoimingutega seotud anomaalsele tegevusele" ja seetõttu ei eelda Williams, et Microsoft saaks vältida oma logimise lisatasu kontrollimist. edasi.
"Raiemaksu ei tohiks kehtestada, eriti millegi nii põhjapaneva puhul nagu meil," lisab Williams. "Ma kahtlustan, et Microsofti juhid vastavad mõnele väga ebamugavale küsimusele veel kavandatud Kongressi kuulamistel."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- :on
- :on
- :mitte
- 12
- 25
- 7
- a
- Võimalik
- MEIST
- sellest
- juurdepääs
- Ligipääs
- Vastavalt
- konto
- Kontod
- tegevus
- tegevus
- Lisa
- lisatud
- Täiendavad lisad
- Lisab
- asutused
- agentuur
- üksi
- Ka
- an
- ja
- mistahes
- AS
- At
- saadaval
- vältima
- alus
- BE
- BEC
- olnud
- vahel
- rikkumine
- äri
- ärimeili kompromiss
- kuid
- by
- Kampaania
- CAN
- kommentaar
- Vastavus
- kompromiss
- Kompromissitud
- Kongressi liige
- kulud
- võiks
- ei suutnud
- Kliendid
- Küberturvalisus
- tume
- Tume lugemine
- andmed
- Vaatamata
- tuvastatud
- do
- ei
- don
- kaks
- kirju
- tõhustatud
- eriti
- tõend
- tõendatud
- juhid
- ootama
- kallis
- ekspert
- ekspertide
- selgitas
- Selgitab
- Föderaal-
- Föderaalvalitsus
- tundma
- leidma
- eest
- edasi
- sageli
- Alates
- üldiselt
- antud
- läheb
- Valitsus
- Grupp
- juhised
- Olema
- he
- esiletõstmine
- rõhutab
- takistab
- Tulemus
- aga
- HTTPS
- inim-
- inimõiguste
- i
- kohe
- in
- juhtum
- intsidentidele reageerimine
- uurides
- pole
- IT
- ITS
- jpg
- Juuli
- puudus
- maastik
- hiljemalt
- juhtivate
- Tase
- litsents
- Litsentsid
- litsentsimine
- nagu
- logi
- loginud
- metsaraie
- Enamus
- palju
- mai..
- kirjad
- Microsoft
- kuu
- rohkem
- Uus
- märkida
- teade
- of
- on
- jätkuv
- ainult
- töö
- Operations
- or
- organisatsioon
- organisatsioonid
- välja
- üle
- osa
- Maksma
- kohta
- plaanid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- preemia
- Probleem
- Küsimused
- Lugemine
- reaalne
- tõesti
- hiljuti
- kohta
- seotud
- taotleda
- nõutav
- Reageerida
- vastus
- õigusi
- jookseb
- s
- kontrolli
- turvalisus
- vaata
- peaks
- külg
- mõned
- midagi
- varsti
- rääkimine
- spetsiifilisus
- Steven
- Lugu
- selline
- tabel
- suunatud
- maks
- meeskond
- öelda
- et
- .
- oma
- Seal.
- nad
- see
- okas
- need
- oht
- et
- võttis
- lülitub
- puperdama
- katteta
- us
- USA föderaal
- Kasutaja
- suur
- Ärka
- oli
- we
- M
- mis
- kuigi
- WHO
- kogu
- miks
- will
- Williams
- koos
- ilma
- oleks
- kirjutas
- aastat
- veel
- sephyrnet