Firma Microsoft zaalarmowała organizację praw człowieka, że została naruszona w ramach ataku hakerskiego Lipcowe naruszenie poczty e-mail przypisywane Storm-0558, ale organizacja nie znalazła w swoich dziennikach żadnych dowodów na naruszenie bezpieczeństwa. Dlaczego? Nie płaciło Microsoftowi premii za licencję na poziomie E5.
Tę historię Steven Adair z Volexity opowiedział na Twitterze, podkreślając brak dostępu do logowania dla zdecydowanej większości klientów Microsoft, którzy nie mają licencji E3.
„Ten incydent był dla nas prawdziwym wstrząsem” – napisał Adair. „Badanie incydentów i podejrzanych działań w Microsoft 365 i Azure AD to coś, co (w Volexity) robimy często. Jednak pomimo powiadomienia od firmy Microsoft dotyczącego nieautoryzowanego dostępu, nie znaleźliśmy żadnych potwierdzających dowodów”.
Problem? Zespół Volexity nie miał dostępu do dowodów rejestracyjnych posiadających licencję E3 organizacji praw człowieka.
„Okazuje się, że osoba atakująca uzyskiwała dostęp do wiadomości e-mail i ten poziom aktywności został zarejestrowany w operacji „MailItemsAccessed” – dodał. „Jednak ogólnie rzecz biorąc, ta operacja rejestrowania nie jest dostępna w przypadku licencji E3 i wymagała dodatkowego rejestrowania dostępnego tylko w droższych planach E5/G5”.
Adair zauważył, że rejestrowanie wiadomości e-mail powinno stanowić stawkę, biorąc pod uwagę krajobraz zagrożeń, o czym świadczą wytyczne CISA z 12 lipca dotyczące wykrywania aktywności na poziomie APT, które zalecają umożliwiając rejestrowanie na poziomie premium E5. Jednak według Microsoftu, an Licencja Office 365 E3 kosztuje 23 USD na użytkownika miesięcznie, podczas gdy E5 kosztuje 38 USD na użytkownika miesięcznie, co, jak zauważył Adair, jest zaporowe dla wielu organizacji.
Microsoft nie odpowiedział natychmiast na prośbę Dark Reading o komentarz.
Bieżący „podatek od rejestrowania” firmy Microsoft
Podczas gdy niedawny Naruszenie Storm-0558 podkreśla rozbieżności w danych pomiędzy „posiadającymi” cyberbezpieczeństwa, których stać na licencję E5, a tymi, „nieposiadającymi”, takimi jak grupa praw człowieka, której dotyczy atak, problem nie jest nowy, zdaniem eksperta ds. cyberbezpieczeństwa Jake’a Williamsa. Jednak Microsoft może wkrótce poczuć presję, aby coś z tym zrobić w następstwie ostatniej kampanii, która dotknęła także 25 agencji rządu federalnego USA.
„Ulepszone rejestrowanie dostępne wyłącznie z licencją E5 (lub licencją dodatkową dotyczącą bezpieczeństwa i zgodności z E3) od lat jest solą w oku osób reagujących na incydenty i trenerów ds. naruszeń” – wyjaśnia Williams w rozmowie z Dark Reading. „Organizacje dotknięte włamaniem BEC (kompromis w służbowej poczcie e-mail) oczekują, że będą w stanie zobaczyć, jakie wiadomości przeglądał podmiot zagrażający, ale nie będzie to możliwe bez ulepszonego rejestrowania”.
Dodaje, że w niektórych przypadkach mogą również występować rozbieżności w zakresie dostępności dla poszczególnych kont: „Organizacja może mieć licencję E5 tylko na niektórych kontach, co prowadzi do braku spójności w zakresie działań, jakie mogą zobaczyć na poszczególnych kontach podstawa."
Williams podkreśla, że same dzienniki premium nie pozwoliłyby na wykrycie szkodliwej aktywności Storm-0558 w sposób specyficzny. Niemniej jednak Adair z Volexity wyjaśnił, że „cała ta operacja została wykryta przez agencję FCEB [z powodu] nietypowej aktywności związanej z operacjami na dziennikach MailItemsAccessed” i w związku z tym Williams nie spodziewa się, że Microsoft będzie w stanie uniknąć kontroli w związku z wychodzeniem dodatkowej opłaty za rejestrowanie do przodu.
„Nie powinno być podatku od pozyskiwania drewna, zwłaszcza w przypadku czegoś tak podstawowego, jak poczta elektroniczna” – dodaje Williams. „Podejrzewam, że kierownictwo Microsoftu będzie odpowiadać na kilka naprawdę niewygodnych pytań podczas jeszcze nie zaplanowanych przesłuchań w Kongresie w tej sprawie”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- :ma
- :Jest
- :nie
- 12
- 25
- 7
- a
- Zdolny
- O nas
- o tym
- dostęp
- Dostęp
- Stosownie
- Konto
- Konta
- zajęcia
- działalność
- Dodatek
- w dodatku
- Dodatkowy
- Dodaje
- agencje
- agencja
- sam
- również
- an
- i
- każdy
- AS
- At
- dostępny
- uniknąć
- podstawa
- BE
- BEC
- być
- pomiędzy
- naruszenie
- biznes
- kompromis w e-mailach biznesowych
- ale
- by
- Kampania
- CAN
- komentarz
- spełnienie
- kompromis
- Zagrożone
- Kongresowy
- Koszty:
- mógłby
- nie mogłem
- Klientów
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczne czytanie
- dane
- Mimo
- wykryte
- do
- robi
- darowizna
- z powodu
- e-maile
- wzmocnione
- szczególnie
- dowód
- udowodnione
- kierownictwo
- oczekiwać
- drogi
- ekspert
- eksperci
- wyjaśnione
- Objaśnia
- Federalny
- Rząd federalny
- czuć
- Znajdź
- W razie zamówieenia projektu
- Naprzód
- często
- od
- ogólnie
- dany
- będzie
- Rząd
- Zarządzanie
- poradnictwo
- Have
- he
- podświetlanie
- pasemka
- przeszkadza
- Dobranie (Hit)
- Jednak
- HTTPS
- człowiek
- prawa człowieka
- i
- natychmiast
- in
- incydent
- reakcja na incydent
- dochodzenie
- ISN
- IT
- JEGO
- jpg
- lipiec
- Brak
- krajobraz
- firmy
- prowadzący
- poziom
- Licencja
- licencje
- Koncesjonowanie
- lubić
- log
- zalogowany
- zalogowaniu
- Większość
- wiele
- Może..
- wiadomości
- Microsoft
- Miesiąc
- jeszcze
- Nowości
- zauważyć
- powiadomienie
- of
- on
- trwający
- tylko
- działanie
- operacje
- or
- organizacja
- organizacji
- na zewnątrz
- koniec
- część
- Zapłacić
- dla
- plany
- plato
- Analiza danych Platona
- PlatoDane
- Premia
- Problem
- pytania
- Czytający
- real
- naprawdę
- niedawny
- w sprawie
- związane z
- zażądać
- wymagany
- Odpowiadać
- odpowiedź
- prawa
- działa
- s
- badanie
- bezpieczeństwo
- widzieć
- powinien
- bok
- kilka
- coś
- wkrótce
- Mówiąc
- specyficzność
- steven
- Historia
- taki
- stół
- ukierunkowane
- podatek
- zespół
- powiedzieć
- że
- Połączenia
- ich
- Tam.
- one
- to
- Cierń
- tych
- groźba
- do
- wziął
- włącza
- i twitterze
- odkryte
- us
- Federalna USA
- Użytkownik
- Naprawiono
- Budzić
- była
- we
- Co
- który
- Podczas
- KIM
- cały
- dlaczego
- będzie
- Williams
- w
- bez
- by
- napisał
- lat
- jeszcze
- zefirnet