Microsoft mở rộng khả năng ghi nhật ký miễn phí sau cuộc tấn công vào tháng 5

Microsoft đã làm việc với CISA, Văn phòng Quản lý và Ngân sách (OMB) và Văn phòng Giám đốc Mạng Quốc gia (ONCD) kể từ khi tiết lộ vụ việc để đảm bảo rằng các cơ quan liên bang hiện có quyền truy cập vào tất cả dữ liệu ghi nhật ký cần thiết để phát hiện các cuộc tấn công tương tự trong tương lai.

“Bắt đầu từ tháng này, tính năng ghi nhật ký mở rộng sẽ có sẵn cho tất cả các cơ quan sử dụng Microsoft Purview Audit bất kể cấp giấy phép”, thông cáo báo chí ngày 21 tháng 2 cho biết.

“Microsoft sẽ tự động kích hoạt nhật ký trong tài khoản khách hàng và tăng thời gian lưu giữ nhật ký mặc định từ 90 ngày lên 180 ngày. Ngoài ra, dữ liệu này sẽ cung cấp phép đo từ xa mới để giúp nhiều cơ quan liên bang hơn đáp ứng các yêu cầu ghi nhật ký do Bản ghi nhớ OMB M-21-31 bắt buộc. “

Thay đổi mới cũng phù hợp với hướng dẫn Bảo mật theo thiết kế của CISA, trong đó nói rằng tất cả các nhà cung cấp công nghệ phải cung cấp “nhật ký kiểm tra chất lượng cao” mà không yêu cầu cấu hình bổ sung hoặc tính phí bổ sung.

Eric Goldstein, Trợ lý Giám đốc Điều hành về An ninh mạng của CISA cho biết: “Mùa hè năm ngoái, chúng tôi rất vui khi thấy cam kết của Microsoft cung cấp tính năng ghi nhật ký cần thiết cho các cơ quan liên bang và cộng đồng an ninh mạng rộng lớn hơn. Tôi rất vui vì chúng tôi đã đạt được tiến bộ thực sự hướng tới mục tiêu này”.

“Mọi tổ chức đều có quyền tiếp cận công nghệ an toàn và bảo mật và chúng tôi tiếp tục đạt được tiến bộ hướng tới mục tiêu này.”

Tài khoản Outlook của ít nhất 25 tổ chức bị xâm phạm

Vào tháng 7, Microsoft tiết lộ rằng một nhóm hack Trung Quốc được theo dõi với tên gọi Storm-0558 đã truy cập và đánh cắp dữ liệu Exchange Online Outlook từ khoảng 25 tổ chức, bao gồm cả các cơ quan chính phủ Hoa Kỳ và Tây Âu.

Như được tiết lộ sau đó, các tác nhân đe dọa đã sử dụng khóa tiêu dùng của tài khoản Microsoft (MSA) bị đánh cắp từ kết xuất sự cố Windows để giả mạo mã thông báo xác thực và truy cập các tài khoản email được nhắm mục tiêu thông qua Outlook Web Access trong Exchange Online (OWA) và Outlook.com.

Trong khi các tin tặc hầu như đều tránh bị phát hiện, một số cơ quan liên bang Hoa Kỳ bị ảnh hưởng đã xác định được hoạt động độc hại bằng cách sử dụng tính năng ghi nhật ký nâng cao (tức là các sự kiện MailItemsAccessed).

Tuy nhiên, khả năng ghi nhật ký nâng cao này chỉ dành cho khách hàng có giấy phép ghi nhật ký Purview Audit (Premium) của Microsoft, khiến Redmond phải đối mặt với những lời chỉ trích vì cản trở các tổ chức phát hiện kịp thời các cuộc tấn công của Storm-0558.

Sau khi tiết lộ sự cố và bị CISA gây áp lực, Microsoft đã đồng ý mở rộng quyền truy cập miễn phí vào dữ liệu ghi nhật ký để cho phép những người bảo vệ mạng phát hiện các tấn công tương tự trong tương lai.

Nhiều tháng sau vụ việc, các quan chức Bộ Ngoại giao Hoa Kỳ tiết lộ rằng tin tặc Storm-0558 của Trung Quốc đã đánh cắp ít nhất 60.000 email từ tài khoản Outlook của các quan chức Bộ Ngoại giao sau khi xâm nhập vào nền tảng email Exchange Online dựa trên đám mây của Microsoft.

Thượng nghị sĩ Hoa Kỳ Ron Wyden nói với CyberScoop ngày 21 tháng 2: “Microsoft không xứng đáng nhận được bất kỳ lời khen ngợi nào vì đã nhượng bộ trước áp lực và thông báo rằng họ sẽ không bắt khách hàng phải trả thêm phí cho các tính năng cơ bản như nhật ký bảo mật nữa”.

“Giống như kẻ đốt phá bán dịch vụ chữa cháy, Microsoft đã thu lợi từ các lỗ hổng trong sản phẩm của chính mình và xây dựng một doanh nghiệp bảo mật tạo ra hàng chục tỷ đô la mỗi năm. Không có ví dụ nào rõ ràng hơn về việc cần phải buộc các công ty phần mềm phải chịu trách nhiệm về sự cẩu thả trong an ninh mạng của họ. “

Cập nhật vào lúc 21:04 EST ngày 21 tháng
2: Bài viết và tiêu đề đã được sửa đổi để chỉ ra chính xác rằng tất cả khách hàng tiêu chuẩn Kiểm toán sẽ có quyền truy cập vào tính năng ghi nhật ký mở rộng.

Nguồn: bleepingcomputer.com