W styczniu tego roku zostałem sprowokowany przyznaniem się Microsoftu do udanego ataku przez wspieraną przez Rosję grupę hakerską Midnight Blizzard(znany również jako APT29 lub Cozy Bear), aby utworzyć listę pięciu pytań, które należy zadać kierownikom działu IT i bezpieczeństwa.
Ten artykuł nie zastępuje przeczytania raportu i polecam każdemu zainteresowanemu bezpieczeństwem i profilem ryzyka globalnej chmury Hyperscale Cloud firmy Microsoft pobranie go i zapoznanie się zarówno ze szczegółową analizą dowodów, jak i ustaleniami CSRB – to dość otrzeźwiająca lektura.
Jednakże dla tych, którzy nie mają czasu na samodzielne przeczytanie raportu, chcę podsumować zarówno kluczowe punkty raportu, jak i zasugerować zarówno oczywiste działania, jakie należy podjąć, jak i pytania, które należy zadać – zarówno na poziomie organizacyjnym, jak i w rządzie Wielkiej Brytanii samo.
Warto zauważyć, że choć przywódcy USA podjęli bezpośrednie działania w celu oceny licznych incydentów związanych z bezpieczeństwem, które dotknęły firmę Microsoft w ciągu ostatniego roku, i podjęcia odpowiednich działań, rząd brytyjski (przynajmniej publicznie) zachował powściągliwość i powściągliwość.
Może to odzwierciedlać rzeczywistość, w której Wielka Brytania może wywierać niewielki lub żaden wpływ na platformę Microsoft z siedzibą w USA, ale może również odzwierciedlać fakt, że bezpieczeństwo i operacje IT w Wielkiej Brytanii – prawdopodobnie bardziej niż w jakimkolwiek innym kraju na świecie – są w ogromnym stopniu zależne od po bezpiecznym działaniu usług Microsoft Public Cloud Services.
Wielka Brytania tak naprawdę przyspiesza wdrażanie tych technologii, mimo że Stany Zjednoczone i inne rządy wyrażają rosnące obawy co do przydatności platformy Microsoft do użytku w sektorze publicznym lub w krytycznej infrastrukturze krajowej.
HMG mogło po prostu zdecydować się na pozostawienie proszku w stanie suchym do czasu znalezienia i opublikowania wyraźnych dowodów na istnienie problemów związanych z bezpieczeństwem. Jeżeli tak, raport CSRB powinien zmienić to stanowisko.
Raport CRSB – najważniejsze informacje
Raport jest stosunkowo kompaktowy i liczy 34 strony i choć odnosi się do innych zgłoszonych ataków hakerskich firmy Microsoft, w tym ataku Midnight Blizzard w styczniu 2024 r., poza tym ściśle trzyma się opisu zdarzenia hakerskiego Storm-0558 z maja/czerwca.
Raport w oparciu o analizę kryminalistyczną eliminuje awarie prowadzące do ataku i przedstawia 25 zaleceń:
- Cztery z nich skupiają się bezpośrednio na krytycznych błędach korporacyjnych zidentyfikowanych na podstawie praktyk i kultury bezpieczeństwa firmy Microsoft;
- Pięć z nich zaleca ulepszenia modeli kontroli tożsamości i dostępu firmy Microsoft w celu dostosowania ich do zidentyfikowanych silnych praktyk w Google, AWS i Oracle;
- Jeden określa minimalne standardy rejestrowania i audytu, które zdaniem CSRB powinny mieć zastosowanie do wszystkich dostawców CSP;
- Trzy z nich zalecają stosowanie otwartych standardów tożsamości w powiązaniu z identyfikacją CSRB, że do ataku przyczyniły się zastrzeżone technologie Microsoft Identity;
- Siedem z nich wprowadza obowiązek przejrzystości dla dostawców usług internetowych wobec rządu USA oraz usprawnienia powiadamiania ofiar – co może wymagać ostrożnego wdrożenia, jeśli nie mają naruszyć prawa innych światowych organów ustawodawczych. Istniejące obawy co do zdolności rządu USA do wglądu w usługi amerykańskich dostawców usług w chmurze ; I
- Pięć z nich sugeruje możliwe zmiany w standardach NIST dla Cloud Identity oraz modernizację amerykańskiego modelu FedRAMP – przy czym ten ostatni zasadniczo poprawiłby pozycję bezpieczeństwa użytkowników chmury w rządzie USA, zamiast zapewniać ogólne korzyści na całym świecie.
Mój ostatni artykuł z pięcioma pytaniami rozpocząłem od pytania o stan bezpieczeństwa Microsoftu:
Microsoft prezentuje się jako platforma wewnętrznie bezpieczna – czy nadal tak jest?
CSRB udzieliła odpowiedzi na to pytanie, stwierdzając, że stan i kultura bezpieczeństwa firmy Microsoft odbiegają znacznie od norm obowiązujących dostawców usług w chmurze; w zakresie, w jakim CSRB nalegała, aby zawiesiła tworzenie coraz bardziej złożonych nowych funkcji do czasu potwierdzenia, że można je wprowadzić w sposób bezpieczny.
Ponadto CSRB potwierdziło, że sposób, w jaki przeprowadzono atak Storm-0558, nadal pozostaje nieznany, ale za kluczowe słabości uznała poleganie Microsoftu na starszych produktach tożsamości sprzed 20 lat, nieprawidłowe ręczne procesy zarządzania kluczami oraz słabe rejestrowanie i audytowanie wykorzystywane przez tych i innych napastników.
Wcześniej postulowałem, że Microsoft może nigdy nie być w stanie udowodnić, że jego platforma jest w 100% bezpieczna po włamaniu do Midnight Blizzard, a CSRB położyło to wyzwanie na biurku Zarządu Microsoftu – aby udowodnić, że poważnie podchodzi do kwestii bezpieczeństwa i że raz może ponownie zostać uznaną za platformę godną zaufania.
Pięć pytań, które należy zadać
W przypadku organizacji korzystających z oprogramowania Microsoft pięć zaktualizowanych pytań, które możemy teraz zadać, to:
Czy nowe produkty wprowadzone przez Microsoft poprawiły czy osłabiły Twoje bezpieczeństwo?
Firma Microsoft rozpoczęła globalne wdrażanie/ogólną dostępność narzędzi opartych na Copilot LLM/AI wszystkim klientom – za dodatkową opłatą lub w pakiecie z licencjami dla przedsiębiorstw.
Jednakże wprowadzenie rozwiązania Copilot nie zostało powszechnie przyjęte z zadowoleniem Kongres USA zakazujący Copilotowi ze swoich urządzeń, powołując się na obawy związane z kontrolą danych, które pobiera i na podstawie których sporządza raporty.
Biorąc pod uwagę raport CSRB i zalecenia, zgodnie z którymi Microsoft powinien powrócić do paradygmatu Billa Gatesa z 2002 r., zakładającego „bezpieczeństwo i prywatność ponad nową funkcjonalność”, skąd wiemy, że te usługi rzeczywiście zapewniają korzyści sugerowane przez Microsoft?
Microsoft potwierdził, że hakerzy Midnight Blizzard przebywali w jego systemach przez maksymalnie 42 dni, zanim zostali wykryci – pomimo technologii Security Copilot monitorujących środowiska obsługujących sztuczną inteligencję.
Narzędzia zabezpieczające nowej generacji oparte na sztucznej inteligencji były agresywnie wypierane i w szybkim tempie wdrażane przez większość klientów Microsoftu w ciągu ostatnich sześciu miesięcy, ale czy CSRB ma rację, sugerując, że leżące u ich podstaw bezpieczeństwo i wartość bezpieczeństwa mogą nie być warte ryzyka ich przyjęcia ?
Czy rzeczywiście poprawiamy nasze bezpieczeństwo poprzez ich użycie, czy po prostu zyskujemy fałszywe poczucie komfortu i czy informacje w nich zawarte mogą zostać wykorzystane przez osoby atakujące w celu zidentyfikowania luk w zabezpieczeniach lub opracowania nowych ataków?
Czy prawdopodobnie będziemy celem przyszłych ataków za pośrednictwem usług Microsoft?
Microsoft twierdził już wcześniej, że włamania do jego infrastruktury miały ściśle ograniczone skutki dla klientów, jednocześnie w styczniu doradzając „rządom, podmiotom dyplomatycznym, organizacjom pozarządowym (NGO) i dostawcom usług IT, głównie w USA i Europie”, aby mieli świadomość ataków na usługi Microsoft i doradzanie im, jak rozpoznać, czy zostały naruszone (blog poświęcony informacjom o zagrożeniach bezpieczeństwa).
Raport CSRB poszedł dalej i wskazuje, że organy rządowe i operatorzy krajowej infrastruktury krytycznej (CNI) świadczący usługi na platformach chmurowych Microsoft są w rzeczywistości kluczowym celem hakerów z Chin i innych krajów sponsorowanych przez państwo.
W tym względzie ważne jest, abyśmy zrozumieli, że Wielka Brytania jest tu prawdopodobnie narażona na znacznie większe ryzyko niż jej sojusznicy, mając ograniczone krajowe usługi w chmurze i polegając prawie wyłącznie na platformach chmurowych Microsoft i AWS w zakresie kluczowych funkcji państwa. Rząd USA szeroko korzysta z chmury Microsoft, ale głównie w wersji FedRAMP mającej siedzibę w USA i gwarantowanej przez władze federalne – a nie z platformy chmury publicznej, z której korzysta Wielka Brytania.
Jest mało prawdopodobne, aby rząd Wielkiej Brytanii właściwie rozumiał obecnie narażenie na ryzyko związane z platformą chmurową Microsoft (co może dotyczyć również organizacji pozarządowych).
W ciągu ostatniej dekady przyjęcie usług chmury publicznej Microsoft przez sektor publiczny Wielkiej Brytanii przebiegało stosunkowo bez ograniczeń, podczas gdy dane dotyczące wydatków publicznych na rzecz Microsoft są często zawarte w umowach zawieranych z partnerami i integratorami usług lub wymieniane jako „licencje”, w związku z czym mogą być niedokładne .
Dokładne zrozumienie, na jakich usługach Microsoft polegasz — np. tożsamości w chmurze — jest teraz ważniejsze niż kiedykolwiek (podobnie jak mechanizmy awaryjne na wypadek awarii lub utraty usług).
Ważne jest również, aby wiedzieć, jakie aplikacje i usługi masz w infrastrukturze chmury Microsoft i jakie dokładnie dane są w nich zawarte.
Na szczeblu rządowym Wielka Brytania musi przeprowadzić odpowiedni audyt korzystania z chmury przez każdy organ publiczny i utworzyć krajowy rejestr zasobów informacyjnych.
Dopiero gdy będziemy mieli jedno i drugie, będziemy mogli mieć nadzieję, że zrozumiemy naszą narodową postawę ryzyka.
Gdybyśmy musieli odłączyć się od Microsoft, co by to oznaczało dla naszej działalności biznesowej?
To pytanie jest teraz tak samo aktualne, jak wtedy, gdy je po raz pierwszy postawiłem – z dodatkową uwagą, że chociaż wcześniej mogły istnieć pewne oznaki kompromisów i słabych punktów bezpieczeństwa w firmie Microsoft; raport CSRB potwierdził obecnie, że obie te możliwości stanowią potwierdzony fakt.
Ponadto organizacje, które zaczęły wdrażać nowo wdrożone usługi Azure lub 365 (lub na nich polegać), mogą chcieć przygotować się na ewentualność, że Microsoft będzie mógł je wycofać lub zawiesić – do czego może być zobowiązany, jeśli zalecenia skierowane do prezydenta USA sporządzone przez CSRB są przestrzegane.
Inwestycje w najnowsze technologie mogą zatem teraz wiązać się z dodatkowym ryzykiem lub plany projektów mogą wymagać przeglądu.
Nie jest to ryzyko związane z pilnym podjęciem działań natychmiast – wątpię, abyśmy zaobserwowali ograniczenia usług na dużą skalę, ale warto się temu uważnie przyjrzeć. Być może bardziej prawdopodobne jest, że nadchodzące funkcje pozostaną w wersji beta lub w ograniczonej wersji zapoznawczej przez dłuższy czas.
Czy decyzje, które wcześniej podjęliśmy w oparciu o akceptację ryzyka, są nadal aktualne?
Wszystkie dzisiejsze organizacje działają w pewnym stopniu w oparciu o akceptację ryzyka, a to wymaga od nas regularnego przeglądu naszej pozycji w zakresie ryzyka w miarę zmiany okoliczności.
Raport CSRB identyfikuje szereg niepokojących zachowań i niski priorytet bezpieczeństwa w firmie Microsoft, więc jeśli akceptacja ryzyka opierała się częściowo na wewnętrznych dobrych praktykach firmy Microsoft w zakresie bezpieczeństwa, rozsądne może być przeczytanie raportu CSRB i podjęcie decyzji, czy należy ponownie zbadaj je.
Niedawno firma Google ogłosiła alternatywę dla „modelu wspólnej odpowiedzialności” w przypadku chmury i biorąc pod uwagę, że w przypadku Microsoftu wydaje się, że jego odpowiedzialność za utrzymanie bezpieczeństwa chmury została wypełniona w niewystarczającym stopniu, Google Wspólny losModel ten jest być może warty rozważenia i mógłby być bardziej sprawiedliwie wyważony.
Czy powinniśmy szukać innej platformy chmurowej – czy nawet samodzielnego hostingu?
Chociaż CSRB była bardzo krytyczna wobec Microsoftu, nadal ogólnie pozytywnie wypowiadała się na temat usług w chmurze i wspomniała o konkretnych dobrych praktykach w Google, AWS i Oracle, które sugerują, że ich podstawowe zaufanie do chmury jako modelu dostarczania pozostaje duże.
Ostatecznie decyzja o odejściu od obecnego dostawcy usług w chmurze to trudny wybór – nie należy go podejmować bez dokładnego przemyślenia, chyba że uważasz, że jest to platforma iskroniebezpieczna dla Twojego konkretnego zastosowania.
W przypadku niektórych służb rządowych wyciągnięcie takiego wniosku na podstawie raportu CSRB nie byłoby nierozsądne – ale mimo to żadna migracja rządu z Microsoftu nie będzie prawdopodobnie łatwa ani przyjemna w obecnej sytuacji.
Istnieją jednak obecnie solidne podstawy do rozważenia wstrzymania dalszego wdrażania platformy Microsoft, a być może nawet zastosowania moratorium na jej wykorzystanie w przypadku niektórych typów danych do czasu podjęcia działań w raporcie CSRB, a także dokładnego sposobu, w jaki Microsoft zostało naruszone.
Nawet teraz – dziewięć miesięcy po ataku – CSRB stwierdziła, że Microsoft w dalszym ciągu nie ma jasnej wiedzy na temat tego, w jaki sposób Storm-0558 był w stanie tak głęboko wtargnąć do usług identyfikacyjnych Microsoftu, co powinno nas wszystkich martwić.
Nierozsądne byłoby, gdyby rząd Wielkiej Brytanii nie podjął znaczących działań w związku z tym raportem, biorąc pod uwagę szczegółowe ustalenia amerykańskiej analizy i regularne cytowanie w raporcie dochodzeń NCSC.
Chociaż polityka HMG Cloud First jest często przytaczana jako uzasadnienie wypychania usług do chmury publicznej, należy to wyważyć w oparciu o decyzje oparte na dowodach, jakich oczekuje się od organów publicznych decydujących się na taki krok.
The Zasady bezpieczeństwa chmury NCSC zidentyfikować kilka przypadków użycia i zastrzeżeń, w których korzystanie z chmury publicznej może nie być właściwym wyborem, ale niewiele organizacji stosuje zasady zgodnie z ich przeznaczeniem – do oceny i pomocy w wyborze odpowiedniej platformy chmurowej, a nie jako ćwiczenie zgodności z polami wyboru.
Podsumowując
Korzystanie z usług chmury publicznej zawsze było równowagą ryzyka i korzyści, a obecnie raport CSRB sugeruje, że korzyści, jakie można uzyskać z korzystania z Microsoft, mogą w przypadku wielu organizacji i po raz pierwszy być nieco przeważone przez ryzyko wynikające z kultury korporacyjnej i złych praktyk w zakresie bezpieczeństwa.
Przed taką decyzją stoją teraz klienci Microsoftu – zarówno komercyjni, jak i z sektora publicznego: czy w świetle raportu CSRB zaufanie do Microsoftu jest obecnie niewłaściwe?
Czy musimy moderować lub zacząć ograniczać naszą zależność od chmury Microsoft, czy też powinniśmy mimo wszystko kontynuować działania i mieć nadzieję, że nie wpadniemy w pułapkę kolejnego ataku sponsorowanego przez państwo?