Kritiek op Microsoft over betalen voor eigen securitycontrole
Microsoft krijgt kritiek van security-experts en vanuit de Amerikaanse politiek voor het feit dat controle van logs in de cloud een betaalde extra is. De recente grote hackaanval waarbij mailaccounts van ministeries in de VS zijn gecompromitteerd, valt te detecteren door logs door te nemen. Daarvoor moeten klanten echter wel een duurder 365-contract hebben.
© Salt Security
Salt Security
De vorige week onthulde aanval is via vervalste certificaten uitgevoerd op mailaccounts van organisaties die Microsofts cloudaanbod 365 gebruiken. Daar zit ook in de cloud draaiend Exchange bij, waar de aanvallers binnen zijn gekomen. Hierbij zijn zeker vijfentwintig organisaties gehackt, waaronder Amerikaanse ministeries. Volgens meldingen in de media betreft dit onder meer Buitenlandse Zaken en Economische Zaken, waarbij ook het mailaccount van EZ-minister Gina Raimondo zou zijn gecompromitteerd.
Blind qua beveiliging
Als daders wordt naar China gewezen, met als oorzaak de escalerende handelsoorlog tussen de Verenigde Staten en de Aziatische grootmacht. Deze geslaagde hack, die zeker een maand lang onopgemerkt is geweest, kwam aan het licht doordat een Amerikaanse overheidsklant van Microsoft het heeft ontdekt en vervolgens gemeld aan die leverancier.
Vervolgens heeft Microsoft zelf scans uitgevoerd en meer getroffen klanten ontdekt. Zij zijn toen door de cloudaanbieder geïnformeerd. Het blijkt nu dat lang niet alle klanten deze cyberaanval zelf hadden kunnen ontdekken. Volgens een securitybulletin vanuit de Amerikaanse overheid over deze hack is het alleen te detecteren door 365-logs te scannen op bepaalde events (MailItemsAccessed).
Die logfunctionaliteit is echter voorbehouden aan klanten die betalen voor een zogeheten E5-licentie. Dat niveau voor Microsoft 365 geeft aanvullende mogelijkheden voor beveiliging, maar security-experts uiten nu kritiek dat het doornemen van logs eigenlijk een basale functionaliteit is. Bovendien gaat het om logs van eigen gebruik (en eigen gebruikers), die bij on-premises software gewoon toegankelijk zijn.
Overheidsadvies: (betalen voor) logging
In het securitybulletin van de FBI, de Cybersecurity and Infrastructure Security Agency (CISA) en het ministerie van Homeland Security wordt het advies gegeven om niet alleen audit logging in te schakelen, maar ook om zogeheten purview audit logging aan te zetten. Voor die premiumfunctionaliteit is een licentiecontract op G5/E5-niveau nodig, merken de overheidsorganisaties daarbij op. G5 (voor government-klanten) is grofweg vergelijkbaar met E5 (voor enterpriseklanten).
De Amerikaanse senator Ron Wyden hekelt het feit dat Microsoft zijn klanten niet standaard volledige functionaliteit biedt voor forensisch onderzoek. Hij stelt dat de leverancier deze mogelijkheden gewoon ter beschikking moet stellen. Hij trekt de vergelijking met autoverkopers die dan extra geld zouden rekenen voor veiligheidsgordels en airbags. Diverse securityprofessionals en reverse engineers uiten ook kritiek en stellen dat logs in wezen fundamentele elementen voor beveiliging zijn.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee