Ngày 20 tháng 7 năm 2023THNCloud Security / Gián điệp mạng
Microsoft hôm thứ Tư đã thông báo rằng họ đang mở rộng khả năng ghi nhật ký trên đám mây để giúp các tổ chức điều tra các sự cố an ninh mạng và có được nhiều khả năng hiển thị hơn sau khi phải đối mặt với những lời chỉ trích sau chiến dịch tấn công gián điệp gần đây nhằm vào cơ sở hạ tầng email của họ.
Gã khổng lồ công nghệ cho biết họ đang thực hiện thay đổi để đáp ứng trực tiếp với tần suất và sự phát triển ngày càng tăng của các mối đe dọa mạng quốc gia. Nó dự kiến sẽ ra mắt bắt đầu từ tháng 9 năm 2023 cho tất cả khách hàng chính phủ và thương mại.
“Trong những tháng tới, chúng tôi sẽ cung cấp quyền truy cập vào nhật ký bảo mật đám mây rộng hơn cho khách hàng trên toàn thế giới mà không phải trả thêm phí”, Vasu Jakkal, phó chủ tịch tập đoàn về bảo mật, tuân thủ, nhận dạng và quản lý tại Microsoft cho biết. “Khi những thay đổi này có hiệu lực, khách hàng có thể sử dụng Microsoft Purview Audit để trực quan hóa tập trung nhiều loại dữ liệu nhật ký đám mây hơn được tạo trong toàn doanh nghiệp của họ.”
Là một phần của thay đổi này, người dùng sẽ nhận được quyền truy cập vào nhật ký chi tiết về quyền truy cập email và hơn 30 loại dữ liệu nhật ký khác trước đây chỉ có ở cấp đăng ký Microsoft Purview Audit (Premium). Ngoài ra, nhà sản xuất Windows cho biết họ sẽ kéo dài thời gian lưu giữ mặc định cho khách hàng Audit Standard từ 90 ngày lên 180 ngày.
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hoan nghênh động thái này, tuyên bố rằng “việc có quyền truy cập vào dữ liệu ghi nhật ký chính là điều quan trọng để nhanh chóng giảm thiểu các cuộc xâm nhập mạng” và đó là “một bước tiến quan trọng hướng tới nâng cao bảo mật theo nguyên tắc thiết kế.”
Sự phát triển này xuất hiện sau khi tiết lộ rằng một tác nhân đe dọa hoạt động bên ngoài Trung Quốc, được đặt tên là Storm-0558, đã xâm phạm 25 tổ chức bằng cách khai thác lỗi xác thực trong môi trường Microsoft Exchange.
Bộ Ngoại giao Hoa Kỳ, một trong những thực thể bị ảnh hưởng, cho biết họ có thể phát hiện hoạt động hộp thư độc hại vào tháng 6 năm 2023 nhờ đăng nhập nâng cao trong Microsoft Purview Audit, cụ thể là sử dụng hành động kiểm tra hộp thư MailItemsAccessed, khiến Microsoft phải điều tra vụ việc.
Nhưng các tổ chức bị ảnh hưởng khác cho biết họ không thể phát hiện ra rằng họ đã bị vi phạm vì họ không phải là người đăng ký giấy phép E5/A5/G5, đi kèm với quyền truy cập nâng cao vào các loại nhật ký khác nhau rất quan trọng để điều tra vụ hack.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Các cuộc tấn công do tác nhân thực hiện được cho là đã bắt đầu vào ngày 15 tháng 5 năm 2023, mặc dù Redmond nói rằng kẻ thù đã thể hiện xu hướng đối với các ứng dụng OAuth, hành vi trộm cắp mã thông báo và các cuộc tấn công phát lại mã thông báo nhằm vào tài khoản Microsoft kể từ ít nhất là tháng 8 năm 2021.
Trong khi đó, Microsoft đang tiếp tục thăm dò các vụ xâm nhập, nhưng cho đến nay công ty vẫn chưa giải thích làm thế nào tin tặc có thể lấy được khóa ký của người tiêu dùng tài khoản Microsoft (MSA) không hoạt động để giả mạo mã thông báo xác thực và có được quyền truy cập bất hợp pháp vào email của khách hàng tài khoản sử dụng Outlook Web Access trong Exchange Online (OWA) và Outlook.com.
“Mục tiêu của hầu hết các chiến dịch Storm-0558 là giành được quyền truy cập trái phép vào tài khoản email của nhân viên của các tổ chức được nhắm mục tiêu”, Microsoft tiết lộ vào tuần trước.
“Sau khi Storm-0558 có quyền truy cập vào thông tin xác thực người dùng mong muốn, kẻ tấn công sẽ đăng nhập vào tài khoản email đám mây của người dùng bị xâm phạm bằng thông tin xác thực tài khoản hợp lệ. Sau đó, kẻ tấn công sẽ thu thập thông tin từ tài khoản email qua dịch vụ web.”
