Paige Henley
Le Cyber Safety Review Board des États-Unis a récemment révélé qu'une faille de sécurité importante impliquant les courriers électroniques du gouvernement américain via le logiciel Microsoft Exchange Online aurait pu être évitée.
Cette violation a été orchestrée par des pirates informatiques parrainés par l’État chinois et est le résultat d’une « cascade de failles de sécurité » chez Microsoft. Les pirates ont eu accès aux boîtes de réception de courrier électronique en ligne de 22 organisations, touchant plus de 500 personnes, dont des employés du gouvernement américain engagés dans des tâches de sécurité nationale.
Le Département américain de la Sécurité intérieure a publié un rapport critiquant sévèrement Microsoft pour ses faux pas évitables et pour avoir favorisé une culture d'entreprise qui accordait une faible priorité aux investissements en matière de sécurité et à une gestion stricte des risques.
La méthode d'attaque impliquait que les pirates informatiques utilisaient une clé client de compte Microsoft volée pour forger des jetons permettant d'accéder à Outlook sur le Web et à Outlook.com. Malgré l'incertitude de Microsoft quant à la façon dont la clé a été initialement compromise – soupçonnant qu'elle pourrait faire partie d'un vidage sur incident – ils ont reconnu les limites de leur théorie.
Pour remédier à la violation, Microsoft a initialement diffusé des informations inexactes via un article de blog de septembre 2023, qu'il n'a corrigé qu'en mars 2023 après des demandes persistantes du Cyber Safety Review Board. Ce retard dans la correction et la coopération totale apportée au cours de l'enquête du conseil d'administration ont mis en lumière la nécessité d'une refonte significative de la culture de sécurité de Microsoft.
Le Cyber Safety Review Board a conclu que non seulement l'intrusion était évitable, mais également que les mesures de sécurité de Microsoft faisaient cruellement défaut, soulignant la nécessité d'une refonte étant donné le rôle central de Microsoft dans l'écosystème technologique :
« La Commission estime que cette intrusion était évitable et n'aurait jamais dû se produire. Le Conseil conclut également que la culture de sécurité de Microsoft était inadéquate et nécessite une refonte, en particulier à la lumière du rôle central de l'entreprise dans l'écosystème technologique et du niveau de confiance que les clients accordent à l'entreprise pour protéger leurs données et leurs opérations. le rapport lit.
En réponse à cette violation et aux incidents de cybersécurité qui ont suivi, Microsoft prend des mesures pour améliorer considérablement la sécurité de ses logiciels grâce à l'introduction de la Secure Future Initiative (SFI). Ses changements incluent également le lancement de Copilot for Security, un chatbot alimenté par l'IA destiné à aider les professionnels de la cybersécurité.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/microsofts-cloud-cybersecurity-has-fatal-shortcomings/
- :possède
- :est
- :ne pas
- 2023
- 22
- 40
- 500
- 9
- a
- A Propos
- accès
- accès
- Compte
- reconnu
- adresser
- Affiliation
- Après
- Alimenté par l'IA
- Destinée
- aussi
- an
- et les
- At
- attaquer
- Avatar
- était
- Blog
- planche
- violation
- mais
- by
- Centralité
- Modifications
- Chatbot
- chinois
- le cloud
- COM
- Société
- De l'entreprise
- Compromise
- conclu
- conclut
- consommateur
- coopération
- Entreprises
- corrigé
- pourriez
- Crash
- Culture
- Clients
- cyber
- Cybersécurité
- données
- retarder
- Département
- département de la Sécurité intérieure
- Malgré
- déverser
- pendant
- risque numérique
- emails
- mettant l'accent
- employés
- engagé
- échange
- trouve
- Pour
- forger
- favoriser
- De
- plein
- avenir
- gagné
- donné
- Gouvernement
- les pirates
- Vous avez
- Henley
- patrie
- Homeland Security
- Comment
- HTTPS
- impactant
- améliorer
- in
- inexacte
- comprendre
- Y compris
- individus
- d'information
- possible
- initiative
- Messages
- Introduction
- enquête
- Investissements
- impliqué
- impliquant
- IT
- SES
- ACTIVITES
- manque
- lancer
- Niveau
- lumière
- limites
- LINK
- Faible
- gestion
- Mars
- les mesures
- méthode
- Microsoft
- pourrait
- Nationales
- la sécurité nationale
- une nécessité
- Besoin
- n'allons jamais
- a eu lieu
- of
- on
- en ligne
- uniquement
- Opérations
- orchestrée
- organisations
- Outlook
- plus de
- Réviser
- partie
- particulièrement
- pivot
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Post
- empêché
- priorité
- ,une équipe de professionnels qualifiés
- protéger
- à condition de
- lit
- récemment
- libéré
- rapport
- a besoin
- réponse
- résultat
- Révélé
- Avis
- Analyse
- la gestion des risques
- Rôle
- Sécurité
- sécurisé
- sécurité
- Mesures de sécurité
- Septembre
- gravement
- lacunes
- devrait
- significative
- Logiciels
- Étapes
- volé
- Strict
- ultérieur
- substantiellement
- prise
- tâches
- Technologie
- qui
- La
- leur
- this
- Avec
- à
- Tokens
- La confiance
- Incertitude
- us
- gouvernement des États-Unis
- Utilisant
- via
- était
- web
- webp
- ont été
- qui
- zéphyrnet