Выпуск нового руководства CISA для государственных организаций и предприятий
-
Руководство рассматривает расширенные облачные журналы Microsoft
- Microsoft расширила свои облачные журналы после инцидента с Outlook в июле 2023 года
Microsoft недавно улучшила возможности ведения журналов для своих облачных сервисов, что может привести к значительным изменениям для организаций, связанных с правительством США.
В июле 2023 года китайская группа, спонсируемая государством, получила доступ к электронным аккаунтам сотрудников Государственного департамента и Министерства торговли США. Это событие оказало значительное влияние, что привело к расширению Microsoft бесплатных возможностей ведения журналов для всех пользователей Purview Audit Standard и другим изменениям.
Теперь Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило руководство, объясняющее государственным агентствам и предприятиям, как воспользоваться этими изменениями.
Навигация по расширенным журналам
Новое руководство представляет собой 60-страничный план действий, поэтому изменения могут быть значительными.
«Эти возможности позволяют организациям отслеживать и анализировать тысячи операций пользователей и администраторов, выполненных в десятках сервисов и решений Microsoft», — заявили в CISA. «Эти журналы предоставляют новую телеметрию для улучшения возможностей поиска угроз в случаях компрометации деловой почты (BEC), действий продвинутых угроз от национальных государств и возможных сценариев внутреннего риска».
Руководство также рассматривает навигацию по расширенным журналам в Microsoft 365 и их использование совместно с Microsoft Sentinel и системами управления информацией и событиями безопасности (SIEM) Splunk.
В июле 2023 года китайская группа кибер-шпионажа Storm-0558 воспользовалась уязвимостью в системе электронной почты Microsoft Outlook, чтобы получить несанкционированный доступ к аккаунтам правительственных агентств США и других организаций. Атакующие использовали украденный ключ безопасности Microsoft для создания поддельных токенов аутентификации, обходя меры безопасности.
В итоге Microsoft пришлось отозвать скомпрометированный ключ безопасности, усилить системы проверки токенов и повышения прозрачности, предоставляя детализированные отчеты о происшествиях и обновления безопасности для пострадавших клиентов. Компания также столкнулась с пристальным вниманием к своим облачным практикам безопасности и была вынуждена улучшить меры защиты, чтобы предотвратить подобные нарушения в будущем.
В ноябре 2023 года Microsoft запустила инициативу «Безопасное будущее» (Secure Future Initiative, SFI), всеобъемлющую программу по кибербезопасности, направленную на повышение устойчивости безопасности своих продуктов и услуг. Компания значительно инвестировала в передовые возможности обнаружения, предотвращения и реагирования на угрозы.
Источник: TechRadar
