Securitylogs van Microsoft-klanten alsnog gratis in te zien voor die klanten zelf
Microsoft geeft cloudklanten voortaan gratis toegang tot hun eigen logs die gedragingen in hun ICT-omgevingen vastleggen. Na ophef en druk over een betaalde extra van Microsoft voor zakelijke klanten en overheden zwicht de aanbieder van 365-clouddiensten, in het belang van beveiliging. Klanten kunnen zo aan monitoring en scanning doen, live én met terugkijkende blik. Daarmee zijn laatst diepgaande hackaanvallen op 365-mailomgevingen van klanten ontdekt, door een klant.
© Microsoft
Microsoft
Via malafide e-mails hebben aanvallers in mei dit jaar toegang verkregen tot mailaccounts van eindgebruikers bij zeker 25 organisaties. Daaronder ook ministeries in de Verenigde Staten, waar volgens uitgelekte informatie in de media in ieder geval de ministeries van Buitenlandse Zaken en Economische Zaken bij zitten. Het gaat daarbij niet slechts om lagere ambtenaren met relatief weinig toegang tot gevoelige informatie; het mailaccount van EZ-minister Gina Raimondo zou zelfs zijn gecompromitteerd.
Meten is weten
Deze stilletjes uitgevoerde hack, die door Microsoft is toegeschreven aan Chinese aanvallers, is niet ontdekt door de ICT-aanbieder zelf. Een niet nader genoemde Amerikaanse overheidsklant heeft de compromittering van mailaccounts binnen de eigen organisatie ontdekt en dat vervolgens gemeld bij Microsoft. De ontdekking is te danken aan het scannen van logs, waar cloudklanten bij Microsoft voor moeten betalen. Na de melding door de klant heeft Microsoft zelf securityscans uitgevoerd op logs en zo ontdekt dat meer gebruikers van Exchange Online waren getroffen door de mailhack.
Dit heeft geleid tot schok en schrik over de succesvol uitgevoerde cyberspionage-operatie, maar daarna tot verbazing en verontwaardiging dat het scannen van eigen logs niet standaard mogelijk is. Microsoft heeft kritiek over zich heen gekregen van diverse security-experts plus vanuit de Amerikaanse politiek voor het feit dat controle van logs in de cloud een betaalde extra is. Voor on-premises software - ook van Microsoft - is die functionaliteit voor beheer en beveiliging wel gewoon toegestaan. Voor geavanceerde scans kunnen weliswaar aanvullende tools nodig zijn, die dan geld kunnen kosten, maar in de basis is logscanning beschikbaar.
'Stap in de goede richting'
Onder de criticasters voor Microsofts beleid van betaling voor betere (basis)beveiliging bevond zich ook de Cybersecurity and Infrastructure Security Agency (CISA). Die Amerikaanse overheidsinstantie heeft druk uitgeoefend en wordt in Microsofts aankondiging van de beleidsomslag genoemd als partij waar het een hechte partnership mee heeft. Die samenwerking heeft nu geleid tot het gratis beschikbaar stellen van toegang tot eigen logs voor klanten. De CISA spreekt (ook in de eigen verklaring) van "een stap in de goede richting" om meer bedrijven het principe van secure by design te laten omarmen.
Het nemen van deze stap gaat nog wel enige tijd in beslag nemen. De nu aangekondigde gratis toegankelijkheid tot cloudsecuritylogs voor klanten komt in de komende maanden. Microsoft verklaart dat het deze updates voor logging gaat uitrollen vanaf september dit jaar. Alle bedrijfsklanten en alle overheidsklanten kunnen vanaf dan brede en flexibele toegang tot hun eigen logs verwachten. Daarbij komen dan ook nieuwe beheerkeuzes om de hoek kijken voor waar en hoe lang logdata bewaard moet blijven.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeEen gestolen signing key van Microsoft, waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die van Outlook.com en Exchange Online gebruikmaken, bood toegang tot veel meer clouddiensten van het techbedrijf en partners, zo stelt securitybedrijf Wiz, zie https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr