En menneskerettighetsorganisasjon ble varslet av Microsoft om at den ble kompromittert som en del av en Juli e-postbrudd tilskrevet Storm-0558, men organisasjonen kunne ikke finne noen bevis på kompromittering i loggene sine. Hvorfor? Det betalte ikke Microsoft en premie for en lisens på E5-nivå.
Det er historien Steven Adair med Volexity tok til Twitter for å fortelle, og fremhevet mangel på tilgang til logging for de aller fleste Microsoft-kunder som ikke har E3-lisenser.
"Denne hendelsen var en skikkelig hodeskraper for oss," skrev Adair. "Undersøker hendelser og mistenkt aktivitet i Microsoft 365 og azuread er noe vi (på Volexity) gjør ofte. Til tross for et varsel fra Microsoft om uautorisert tilgang, kunne vi imidlertid ikke finne noen bekreftende bevis."
Problemet? Volexity-teamet hadde ikke tilgang til loggbeviset med menneskerettighetsorganisasjonens E3-lisens.
"Det viser seg at angriperen hadde tilgang til e-poster, og dette aktivitetsnivået ble logget til "MailItemsAccessed"-operasjonen, la han til. "Men generelt sett er denne loggoperasjonen ikke tilgjengelig for E3-lisenser og krevde ytterligere logging tilgjengelig kun fra dyrere E5/G5-planer."
Adair bemerket at e-postlogging bør være tabellinnsats gitt trussellandskapet, som bevist av CISAs veiledning fra 12. juli for å oppdage aktivitet på APT-nivå som anbefaler muliggjør førsteklasses logging på E5-nivå. Likevel, ifølge Microsoft, an Office 365 E3-lisens kjører $23 per bruker per måned, mens E5 koster $38 per bruker per måned, noe Adair påpekte er uoverkommelig for mange organisasjoner.
Microsoft svarte ikke umiddelbart på Dark Readings forespørsel om kommentar.
Microsofts pågående "loggingsavgift"
Mens den siste Storm-0558 brudd fremhever dataavvikene mellom cybersikkerhets-"har" som har råd til en E5-lisens, og de som "ikke har", som menneskerettighetsgruppen målrettet, problemet er ikke nytt, ifølge cybersikkerhetsekspert Jake Williams. Men Microsoft kan snart føle seg presset til å gjøre noe med det i kjølvannet av den siste kampanjen, som også berørte 25 amerikanske føderale myndigheter.
"Den forbedrede loggingen som kun er tilgjengelig med en E5-lisens (eller Security and Compliance-tilleggslisensen med E3) har vært en torn i øyet på hendelsesreaksjoner og trenere i flere år," forklarer Williams til Dark Reading. "Organisasjoner som rammes av et BEC (business email compromise) forventer å kunne se hvilke meldinger trusselaktøren så, men kan ikke uten den forbedrede loggingen."
Han legger til at i noen tilfeller kan det også være avvik på hva som er tilgjengelig per konto: “En organisasjon har kanskje bare E5-lisensiering på enkelte kontoer, noe som fører til mangel på konsistens i hvilke aktiviteter de kan se på en per-konto basis."
Williams understreker at premiumlogger alene ikke ville ha oppdaget Storm-0558s ondsinnede aktivitet med spesifisitet. Ikke desto mindre forklarte Volexitys Adair at "hele denne operasjonen ble avdekket av et FCEB-byrå [på grunn av] unormal aktivitet relatert til MailItemsAccessed loggoperasjoner," og som sådan forventer ikke Williams at Microsoft skal være i stand til å unngå gransking av loggingstillegget. framover.
«Det bør ikke være en tømmerskatt, spesielt for noe så grunnleggende som e-post,» legger Williams til. "Jeg mistenker at Microsoft-ledere vil svare på noen virkelig ubehagelige spørsmål på kongresshøringer som ennå ikke skal planlegges om dette."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- : har
- :er
- :ikke
- 12
- 25
- 7
- a
- I stand
- Om oss
- om det
- adgang
- Tilgang
- Ifølge
- Logg inn
- kontoer
- Aktiviteter
- aktivitet
- Tillegg
- la til
- Ytterligere
- Legger
- byråer
- byrå
- alene
- også
- an
- og
- noen
- AS
- At
- tilgjengelig
- unngå
- basis
- BE
- BEC
- vært
- mellom
- brudd
- virksomhet
- bedriftens e-postkompromiss
- men
- by
- Kampanje
- CAN
- kommentere
- samsvar
- kompromiss
- kompromittert
- Congressional
- Kostnader
- kunne
- kunne
- Kunder
- Cybersecurity
- mørk
- Mørk lesning
- dato
- Til tross for
- oppdaget
- do
- doesn
- Don
- to
- emalje
- e-post
- forbedret
- spesielt
- bevis
- dokumentert
- ledere
- forvente
- dyrt
- Expert
- eksperter
- forklarte
- forklarer
- Federal
- Føderal regjering
- føler
- Finn
- Til
- Forward
- ofte
- fra
- generelt
- gitt
- skal
- Regjeringen
- Gruppe
- veiledning
- Ha
- he
- utheving
- striper
- hindrer
- hit
- Men
- HTTPS
- menneskelig
- menneskerettigheter
- i
- umiddelbart
- in
- hendelse
- hendelsesrespons
- undersøker
- er n
- IT
- DET ER
- jpg
- Juli
- maling
- landskap
- siste
- ledende
- Nivå
- Tillatelse
- lisenser
- Lisensiering
- i likhet med
- logg
- logget
- logging
- Flertall
- mange
- Kan..
- meldinger
- Microsoft
- Måned
- mer
- Ny
- bemerket
- varsling
- of
- on
- pågående
- bare
- drift
- Drift
- or
- organisasjon
- organisasjoner
- ut
- enn
- del
- Betale
- for
- planer
- plato
- Platon Data Intelligence
- PlatonData
- Premium
- Problem
- spørsmål
- Lesning
- ekte
- virkelig
- nylig
- om
- i slekt
- anmode
- påkrevd
- Svare
- svar
- rettigheter
- går
- s
- granskning
- sikkerhet
- se
- bør
- side
- noen
- noe
- snart
- sett
- spesifisitet
- steven
- Story
- slik
- bord
- målrettet
- skatt
- lag
- fortelle
- Det
- De
- deres
- Der.
- de
- denne
- Torn
- De
- trussel
- til
- tok
- snur
- avdekket
- us
- US Federal
- Bruker
- enorme
- Wake
- var
- we
- Hva
- hvilken
- mens
- HVEM
- hele
- hvorfor
- vil
- Williams
- med
- uten
- ville
- skrev
- år
- ennå
- zephyrnet