A Microsoft anunciou na quarta-feira que está expandindo os recursos de registro em nuvem para ajudar as organizações a investigar incidentes de segurança cibernética e ganhar mais visibilidade depois de enfrentar críticas após uma recente campanha de ataque de espionagem voltada para sua infraestrutura de e-mail.
A gigante da tecnologia disse que está fazendo a mudança em resposta direta ao aumento da frequência e evolução das ameaças cibernéticas do estado-nação. Espera-se que seja lançado a partir de setembro de 2023 para todos os clientes governamentais e comerciais.
“Nos próximos meses, incluiremos acesso a logs de segurança em nuvem mais amplos para nossos clientes em todo o mundo, sem custo adicional”, disse Vasu Jakkal, vice-presidente corporativo de segurança, conformidade, identidade e gerenciamento da Microsoft . “À medida que essas mudanças entram em vigor, os clientes podem usar o Microsoft Purview Audit para visualizar centralmente mais tipos de dados de log na nuvem gerados em toda a empresa”.
Como parte dessa mudança, espera-se que os usuários recebam acesso a logs detalhados de acesso a e-mail e mais de 30 outros tipos de dados de log anteriormente disponíveis apenas no nível de assinatura Microsoft Purview Audit (Premium). Além disso, o fabricante do Windows disse que está estendendo o período de retenção padrão para clientes do Audit Standard de 90 dias para 180 dias.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) saudou a mudança, afirmando que “ter acesso aos principais dados de registro é importante para mitigar rapidamente as invasões cibernéticas” e que é “um passo significativo para o avanço da segurança por princípios de design”.
O desenvolvimento ocorre após as divulgações de que um agente de ameaça operando fora da China, apelidado de Storm-0558, violou 25 organizações explorando um erro de validação no ambiente do Microsoft Exchange.
O Departamento de Estado dos EUA, que foi uma das entidades afetadas, disse que foi capaz de detectar a atividade de caixa de correio maliciosa em junho de 2023 devido ao registro aprimorado no Microsoft Purview Audit, especificamente usando a ação de auditoria de caixa de correio MailItemsAccessed , solicitando que a Microsoft investigue o incidente. .
Mas outras organizações afetadas disseram que não conseguiram detectar que foram violadas porque não eram assinantes das licenças E5/A5/G5, que vêm com acesso elevado a vários tipos de logs que seriam cruciais para investigar o hack.
Os ataques montados pelo ator começaram em 15 de maio de 2023, embora Redmond tenha dito que o adversário demonstrou propensão a aplicativos OAuth, roubo de token e ataques de repetição de token contra contas da Microsoft desde pelo menos agosto de 2021.
A Microsoft, enquanto isso, continua investigando as invasões, mas até o momento a empresa não explicou como os hackers conseguiram adquirir uma chave de assinatura do consumidor inativa da conta Microsoft (MSA) para falsificar tokens de autenticação e obter acesso ilícito ao e-mail do cliente. contas usando o Outlook Web Access no Exchange Online (OWA) e Outlook.com.
“O objetivo da maioria das campanhas Storm-0558 é obter acesso não autorizado a contas de e-mail pertencentes a funcionários de organizações visadas”, revelou a Microsoft na semana passada.
“Depois que Storm-0558 tem acesso às credenciais de usuário desejadas, o ator entra na conta de e-mail na nuvem do usuário comprometido com as credenciais de conta válidas. O ator então coleta informações da conta de e-mail pelo serviço da web.”
23 thoughts on “A Microsoft expande o registro em nuvem para combater as crescentes ameaças cibernéticas dos estados-nação”
Comments are closed.