A Microsoft expandiu as capacidades de registro gratuitas para todos os clientes padrão do Purview Audit, incluindo agências federais dos EUA, seis meses após divulgar que hackers chineses roubaram e-mails do governo dos EUA sem serem detectados em uma violação do Exchange Online entre maio e junho de 2023.
A empresa tem trabalhado com a CISA, o Escritório de Gerenciamento e Orçamento (OMB) e o Escritório do Diretor Nacional de Cibersegurança (ONCD) desde que divulgou o incidente para garantir que as agências federais agora tenham acesso a todos os dados de registro necessários para detectar ataques semelhantes no futuro.
"A partir deste mês, o registro expandido estará disponível para todas as agências que usam o Microsoft Purview Audit, independentemente do nível de licença", lê-se em um comunicado à imprensa emitido hoje.
"A Microsoft ativará automaticamente os registros nas contas dos clientes e aumentará o período padrão de retenção de registro de 90 dias para 180 dias.
Além disso, esses dados fornecerão nova telemetria para ajudar mais agências federais a cumprir os requisitos de registro determinados pelo OMB Memorandum M-21-31."
A nova mudança também está alinhada com as orientações de Segurança por Design da CISA, que dizem que todos os provedores de tecnologia devem fornecer "registros de auditoria de alta qualidade" sem exigir configuração adicional ou taxas extras.
"No último verão, ficamos felizes em ver o compromisso da Microsoft em disponibilizar o registro necessário para as agências federais e a comunidade de cibersegurança em geral.
Estou satisfeito por termos avançado em direção a esse objetivo", disse Eric Goldstein, Diretor Assistente Executivo da CISA para Cibersegurança.
"Qualquer organização tem o direito de ter tecnologia segura, e continuamos a progredir em direção a esse objetivo."
Em julho, a Microsoft divulgou que um grupo de hackers chineses rastreados como Storm-0558 acessou e roubou dados do Outlook Online da Exchange de cerca de 25 organizações, incluindo agências governamentais dos EUA e da Europa Ocidental.
Conforme revelado mais tarde, os invasores usaram uma chave de consumidor da conta da Microsoft (MSA) roubada de um despejo de memória do Windows para forjar tokens de autenticação e acessar contas de e-mail direcionadas via Outlook Web Access no Exchange Online (OWA) e Outlook.com.
Embora os hackers tenham evitado a detecção em sua maioria, algumas agências federais dos EUA identificaram a atividade maliciosa usando o registro aprimorado (ou seja, eventos MailItemsAccessed).
No entanto, esses recursos avançados de registro estavam disponíveis apenas para clientes com licenças de registro do Microsoft's Purview Audit (Premium), o que levou a críticas por impedir que as organizações detectassem prontamente os ataques do Storm-0558.
Após a divulgação do incidente e pressionada pela CISA, a Microsoft concordou em ampliar o acesso aos dados de registro gratuitamente para permitir que os defensores de rede detectem tentativas de violação semelhantes no futuro.
Meses após o incidente, funcionários do Departamento de Estado dos EUA revelaram que os hackers chineses Storm-0558 roubaram pelo menos 60 mil e-mails de contas do Outlook pertencentes a funcionários do Departamento de Estado após violarem a plataforma de e-mail Exchange Online baseada em nuvem da Microsoft.
"A Microsoft não merece nenhum elogio por ceder à pressão e anunciar que não cobrará mais de seus clientes taxas adicionais por recursos básicos como logs de segurança", disse o senador dos EUA Ron Wyden ao CyberScoop hoje.
"Assim como um incendiário vendendo serviços de bombeiro, a Microsoft lucrou com as vulnerabilidades em seus próprios produtos e construiu um negócio de segurança gerando dezenas de bilhões de dólares por ano.
Não há exemplo mais claro da necessidade de responsabilizar as empresas de software por sua negligência em cibersegurança."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...