Vào tháng 1 năm nay, việc Microsoft thừa nhận một cuộc tấn công thành công của nhóm hack Midnight Blizzard do Nga hậu thuẫn (còn được gọi là APT29 hoặc Cosy Bear) đã thúc giục tôi tạo một danh sách gồm 5 câu hỏi để hỏi các trưởng bộ phận CNTT và bảo mật của bạn.
Bài viết này không thể thay thế cho việc đọc báo cáo và tôi khuyên bất kỳ ai quan tâm đến hồ sơ bảo mật và rủi ro của Global Hyperscale Cloud của Microsoft hãy tải xuống và xem xét cả phân tích bằng chứng chi tiết và các phát hiện CSRB – đây là một bài đọc khá tỉnh táo.
Tuy nhiên, đối với những người hiện không có thời gian để tự đọc báo cáo, tôi muốn tóm tắt cả những điểm chính của báo cáo và đề xuất cả những hành động rõ ràng cần thực hiện cũng như các câu hỏi cần đặt ra – cả ở cấp độ tổ chức và thực tế là trong chính phủ Vương quốc Anh chính nó.
Đáng chú ý là mặc dù giới lãnh đạo Hoa Kỳ đã có hành động trực tiếp để đánh giá và hành động đối với nhiều sự cố bảo mật ảnh hưởng đến Microsoft trong năm qua, nhưng chính phủ Anh lại ngược lại (ít nhất là ở nơi công cộng) tỏ ra dè dặt và tương đối kín tiếng.
Điều này có thể phản ánh thực tế rằng Vương quốc Anh có thể gây ra ít hoặc không gây ảnh hưởng gì đến nền tảng Microsoft do Hoa Kỳ đặt trụ sở tại, nhưng nó cũng có thể phản ánh rằng các hoạt động bảo mật và CNTT của Vương quốc Anh – có lẽ nhiều hơn bất kỳ quốc gia nào khác trên thế giới – phụ thuộc rất nhiều vào dựa trên hoạt động an toàn của Dịch vụ đám mây công cộng của Microsoft.
Trên thực tế, Vương quốc Anh đang đẩy nhanh việc áp dụng những công nghệ đó ngay cả khi Hoa Kỳ và các chính phủ khác bày tỏ mối lo ngại ngày càng tăng về tính phù hợp của nền tảng Microsoft đối với việc sử dụng Cơ sở hạ tầng quốc gia quan trọng hoặc Khu vực công.
HMG có thể chỉ đơn giản chọn cách giữ bột khô cho đến khi có bằng chứng rõ ràng về các vấn đề bảo mật được tìm thấy và công bố. Nếu vậy, báo cáo CSRB sẽ thay đổi quan điểm đó.
Báo cáo CRSB – những điểm nổi bật chính
Báo cáo tương đối nhỏ gọn gồm 34 trang và mặc dù đề cập đến các vụ hack khác được báo cáo của Microsoft, bao gồm cả cuộc tấn công Midnight Blizzard vào tháng 1 năm 2024, nhưng mặt khác, nó vẫn bám sát bản tóm tắt về sự kiện hack Storm-0558 tháng 5/tháng 6.
Báo cáo đã phân tích một cách pháp lý các lỗi dẫn đến cuộc tấn công và đưa ra 25 khuyến nghị:
- Bốn trong số này tập trung trực tiếp vào những lỗi nghiêm trọng của công ty được xác định bằng các biện pháp thực hành và văn hóa bảo mật của Microsoft;
- Năm đề xuất nâng cấp các mô hình Kiểm soát truy cập và Nhận dạng của Microsoft để phù hợp với các biện pháp thực tiễn mạnh mẽ đã được xác định trong Google, AWS và Oracle;
- Một quy định các tiêu chuẩn kiểm tra và ghi nhật ký tối thiểu mà CSRB tin rằng nên áp dụng cho tất cả các CSP;
- Ba khuyến nghị sử dụng các tiêu chuẩn nhận dạng mở, gắn liền với nhận dạng của CSRB rằng các công nghệ Microsoft Identity độc quyền đã góp phần gây ra cuộc tấn công;
- Bảy đưa ra nghĩa vụ minh bạch đối với CSP đối với chính phủ Hoa Kỳ và để cải thiện thông báo cho nạn nhân – điều này có thể cần được thực hiện cẩn thận nếu không khiến các cơ quan lập pháp toàn cầu khác lo ngại về khả năng của chính phủ Hoa Kỳ trong việc xem xét các dịch vụ của nhà cung cấp đám mây Hoa Kỳ ; Và
- Năm gợi ý về những thay đổi có thể có đối với các tiêu chuẩn NIST cho Cloud Identity và cải tiến mô hình FedRAMP của Hoa Kỳ – mô hình sau này về cơ bản sẽ cải thiện vị thế bảo mật cho người dùng đám mây của chính phủ Hoa Kỳ thay vì mang lại lợi ích chung trên toàn thế giới.
Trong bài viết ‘năm câu hỏi’ gần đây nhất của tôi, tôi đã mở đầu bằng một câu hỏi về tình hình bảo mật của Microsoft:
Microsoft tự thể hiện mình là một nền tảng an toàn nội tại – điều đó có còn đúng không?
CSRB đã đưa ra câu trả lời cho câu hỏi này, xác định rằng tư thế và văn hóa bảo mật của Microsoft thấp hơn nhiều so với tiêu chuẩn dành cho các nhà cung cấp dịch vụ đám mây; đến mức CSRB đã kêu gọi họ tạm dừng việc tạo ra các tính năng mới ngày càng phức tạp cho đến khi xác nhận rằng chúng có thể được giới thiệu một cách an toàn.
Ngoài ra, CSRB xác nhận rằng phương thức thực hiện cuộc tấn công Storm-0558 vẫn chưa được biết, nhưng đã xác định sự phụ thuộc của Microsoft vào các sản phẩm nhận dạng kế thừa 20 năm tuổi, quy trình quản lý khóa thủ công kém cũng như việc ghi nhật ký và kiểm tra kém là những điểm yếu chính. bị khai thác bởi những kẻ này và những kẻ tấn công khác.
Trước đây tôi đã thừa nhận rằng Microsoft có thể không bao giờ có thể chứng minh được nền tảng của mình an toàn 100% sau vụ hack Midnight Blizzard và CSRB đã đặt thách thức đó lên bàn của Ban điều hành Microsoft – để chứng minh rằng họ vừa nghiêm túc về vấn đề bảo mật vừa có thể làm được điều đó. một lần nữa được coi là một nền tảng đáng tin cậy.
Năm câu hỏi để hỏi
Đối với các tổ chức sử dụng Microsoft, năm câu hỏi cập nhật mà chúng tôi hiện có thể hỏi là:
Các sản phẩm mới do Microsoft giới thiệu đã cải thiện hay làm suy yếu khả năng bảo mật của bạn chưa?
Microsoft đã bắt đầu triển khai toàn cầu/khả dụng rộng rãi công cụ dựa trên Copilot LLM/AI cho tất cả khách hàng – dưới hình thức thanh toán bổ sung hoặc đi kèm với giấy phép doanh nghiệp.
Tuy nhiên, việc sử dụng Copilot vẫn chưa được hoan nghênh rộng rãi, với việc Quốc hội Hoa Kỳ cấm Copilot sử dụng các thiết bị của mình với lý do lo ngại về việc kiểm soát dữ liệu mà nó thu thập và báo cáo.
Dựa trên báo cáo của CSRB và các khuyến nghị rằng Microsoft nên quay lại mô hình “bảo mật và quyền riêng tư đối với chức năng mới” năm 2002 của Bill Gates, làm sao chúng ta biết những dịch vụ này mang lại những lợi ích mà Microsoft đã đề xuất?
Microsoft xác nhận rằng các tin tặc Midnight Blizzard đã ở bên trong hệ thống của họ tới 42 ngày trước khi chúng được tìm thấy – mặc dù công nghệ Security Copilot hỗ trợ AI giám sát môi trường.
Các công cụ bảo mật AI thế hệ tiếp theo đã được phát triển mạnh mẽ và được hầu hết khách hàng của Microsoft áp dụng với tốc độ nhanh chóng trong sáu tháng qua, nhưng liệu CSRB có đúng khi cho rằng bảo mật cơ bản và giá trị bảo mật của nó có thể không đáng để mạo hiểm chấp nhận ?
Liệu chúng ta có thực sự cải thiện khả năng bảo mật của mình thông qua việc sử dụng chúng hay chỉ có được cảm giác thoải mái giả tạo và liệu thông tin trong đó có thể bị kẻ tấn công sử dụng làm vũ khí để xác định các lỗ hổng hoặc tạo ra các cuộc tấn công mới không?
Chúng ta có khả năng trở thành mục tiêu cho các cuộc tấn công trong tương lai thông qua các dịch vụ của Microsoft không?
Microsoft trước đây đã tuyên bố rằng các vụ hack vào cơ sở hạ tầng của họ có ảnh hưởng rất hạn chế đến khách hàng, đồng thời vào tháng 1 khuyến cáo “các chính phủ, tổ chức ngoại giao, tổ chức phi chính phủ (NGO) và các nhà cung cấp dịch vụ CNTT, chủ yếu ở Mỹ và Châu Âu” nên lưu ý. về các cuộc tấn công vào các dịch vụ của Microsoft và tư vấn cho họ cách xác định xem chúng có bị xâm phạm hay không (blog thông tin về mối đe dọa bảo mật).
Báo cáo của CSRB đã đi xa hơn và xác định rằng các cơ quan chính phủ và nhà khai thác cơ sở hạ tầng quốc gia quan trọng (CNI) đang chạy các dịch vụ trên nền tảng đám mây của Microsoft thực sự là mục tiêu chính của các tin tặc Trung Quốc và các nhà nước khác.
Về mặt này, điều quan trọng là chúng tôi hiểu rằng ở đây Vương quốc Anh có thể gặp rủi ro lớn hơn nhiều so với các đồng minh, do có các dịch vụ đám mây trong nước hạn chế và hầu như chỉ dựa vào nền tảng đám mây của Microsoft và AWS cho các chức năng chính của nhà nước. Chính phủ Hoa Kỳ sử dụng đám mây của Microsoft một cách rộng rãi, nhưng chủ yếu là ở dạng FedRAMP được đặt tại Hoa Kỳ và được liên bang đảm bảo – chứ không phải nền tảng đám mây công cộng mà Vương quốc Anh sử dụng.
Ngày nay, chính phủ Vương quốc Anh khó có thể hiểu đúng mức độ rủi ro của mình trên nền tảng đám mây của Microsoft (và điều này cũng có thể đúng đối với các tổ chức phi chính phủ).
Trong thập kỷ qua, việc áp dụng các dịch vụ đám mây công cộng của Microsoft trong khu vực công ở Vương quốc Anh tương đối không bị hạn chế, trong khi hồ sơ chi tiêu công cho Microsoft thường có trong các hợp đồng được trao cho các đối tác và nhà tích hợp dịch vụ hoặc được liệt kê dưới dạng ‘giấy phép’ và do đó có thể không chính xác. .
Việc hiểu chính xác những dịch vụ của Microsoft mà bạn tin cậy – chẳng hạn như danh tính dựa trên đám mây – quan trọng hơn bao giờ hết (cũng như các cơ chế dự phòng trong trường hợp có lỗi hoặc mất dịch vụ).
Điều quan trọng nữa là đảm bảo bạn biết mình có những ứng dụng và dịch vụ nào trên cơ sở hạ tầng đám mây của Microsoft và chính xác dữ liệu nào có trong mỗi ứng dụng và dịch vụ đó.
Ở cấp chính phủ, Vương quốc Anh cần tiến hành kiểm toán thích hợp việc sử dụng đám mây của từng cơ quan công quyền và tạo ra một cơ quan đăng ký tài sản thông tin quốc gia.
Chỉ khi có được cả hai, chúng ta mới có thể hy vọng hiểu được tình trạng rủi ro quốc gia của mình.
Nếu chúng tôi phải ngắt kết nối khỏi Microsoft, điều đó có ý nghĩa gì đối với hoạt động kinh doanh của chúng tôi?
Câu hỏi này hiện vẫn có giá trị như khi tôi đặt nó lần đầu tiên – với sự cân nhắc bổ sung rằng mặc dù trước đây có thể đã có một số dấu hiệu về sự thỏa hiệp và điểm yếu bảo mật trong Microsoft; báo cáo CSRB hiện đã xác nhận cả hai khả năng này đều được chứng minh là sự thật.
Ngoài ra, các tổ chức đã bắt đầu áp dụng (hoặc dựa vào) các dịch vụ Azure hoặc 365 mới được triển khai có thể muốn chuẩn bị cho trường hợp Microsoft có thể rút hoặc đình chỉ chúng – điều mà họ có thể buộc phải làm nếu các khuyến nghị gửi tới tổng thống Mỹ được thực hiện bởi CSRB đều được tuân thủ.
Do đó, việc đầu tư vào công nghệ mới nhất hiện có thể mang lại một số rủi ro bổ sung hoặc các kế hoạch dự án có thể cần được xem xét lại.
Đây không phải là rủi ro “hành động ngay” khẩn cấp – Tôi nghi ngờ rằng chúng ta sẽ thấy việc cắt giảm dịch vụ trên quy mô lớn, nhưng cần phải theo dõi cẩn thận. Có lẽ nhiều khả năng các tính năng sắp tới sẽ ở giai đoạn thử nghiệm hoặc xem trước giới hạn trong một khoảng thời gian dài hơn.
Những quyết định mà chúng ta đưa ra trước đây dựa trên sự chấp nhận rủi ro có còn hiệu lực không?
Tất cả các tổ chức ngày nay đều hoạt động dựa trên mức độ chấp nhận rủi ro ở một mức độ nào đó và để làm như vậy đòi hỏi chúng ta phải thường xuyên xem xét tình hình rủi ro của mình khi hoàn cảnh thay đổi.
Báo cáo CSRB xác định một số hành vi liên quan và mức độ ưu tiên bảo mật thấp trong Microsoft và nếu việc chấp nhận rủi ro của bạn một phần dựa trên biện pháp bảo mật tốt nội tại của Microsoft thì bạn nên đọc báo cáo CSRB và quyết định xem bạn có nên- kiểm tra chúng.
Gần đây, Google đã công bố một giải pháp thay thế cho ‘mô hình trách nhiệm chung’ cho đám mây và trong trường hợp của Microsoft, trách nhiệm duy trì tính bảo mật của đám mây dường như chưa được thực hiện đầy đủ, mô hình Số phận chia sẻ của Google có lẽ đáng được xem xét và có thể cân bằng hơn.
Chúng ta có nên xem xét một nền tảng đám mây khác – hay thậm chí là tự lưu trữ?
Mặc dù CSRB chỉ trích mạnh mẽ Microsoft, nhưng CSRB vẫn đánh giá tích cực về các dịch vụ đám mây nói chung và đã chỉ ra các phương pháp hay cụ thể ở Google, AWS và Oracle, điều này cho thấy niềm tin cơ bản của họ vào đám mây như một mô hình phân phối vẫn còn mạnh mẽ.
Cuối cùng, quyết định rời khỏi nhà cung cấp đám mây hiện tại của bạn là một lựa chọn khó khăn – không nên thực hiện mà không suy nghĩ cẩn thận, trừ khi bạn tin rằng về bản chất đó là một nền tảng không an toàn cho mục đích sử dụng cụ thể của bạn.
Đối với một số dịch vụ của chính phủ, sẽ không phải là không có lý khi đưa ra kết luận đó dựa trên báo cáo CSRB – nhưng ngay cả như vậy, việc di chuyển chính phủ khỏi Microsoft có thể sẽ dễ dàng hoặc chấp nhận được trong bối cảnh hiện tại.
Tuy nhiên, hiện tại có cơ sở hợp lý để xem xét việc tạm dừng tiếp tục áp dụng nền tảng Microsoft và thậm chí có thể áp dụng lệnh cấm sử dụng nền tảng này đối với một số loại dữ liệu cho đến khi báo cáo CSRB được thực hiện và biện pháp chính xác mà Microsoft thực hiện. đã bị xâm phạm được xác định.
Ngay cả bây giờ – chín tháng sau cuộc tấn công – CSRB đã xác định rằng Microsoft vẫn chưa hiểu rõ ràng về việc làm thế nào Storm-0558 có thể xâm chiếm sâu đến vậy các dịch vụ nhận dạng của Microsoft và điều đó khiến tất cả chúng ta lo lắng.
Sẽ là không khôn ngoan nếu chính phủ Anh không hành động theo báo cáo này theo một cách có ý nghĩa nào đó dựa trên những phát hiện chi tiết trong phân tích của Mỹ và việc trích dẫn thường xuyên các cuộc điều tra của NCSC trong báo cáo.
Mặc dù chính sách Cloud First của HMG thường được coi là lý do biện minh cho việc đẩy các dịch vụ lên đám mây công cộng, nhưng điều đó cần phải được cân bằng với các quyết định dựa trên bằng chứng mà các cơ quan công quyền lựa chọn thực hiện như vậy.
Nguyên tắc bảo mật đám mây NCSC xác định một số trường hợp sử dụng và lưu ý trong đó việc sử dụng đám mây công cộng có thể không phải là lựa chọn đúng đắn nhưng rất ít tổ chức sử dụng các nguyên tắc như dự kiến – để đánh giá và giúp chọn nền tảng đám mây phù hợp, thay vì tuân thủ hộp đánh dấu bài tập.
Tóm lại là
Sử dụng các dịch vụ đám mây công cộng luôn là một biện pháp cân bằng giữa rủi ro và lợi ích và hiện tại, báo cáo CSRB cho thấy rằng lợi ích thu được từ việc sử dụng Microsoft có thể đối với nhiều tổ chức và lần đầu tiên, có thể vượt xa những gì rủi ro do văn hóa doanh nghiệp và các biện pháp bảo mật kém gây ra.
Đó là quyết định mà các khách hàng của Microsoft hiện phải đối mặt – cả thương mại và khu vực công: theo báo cáo của CSRB, liệu niềm tin vào Microsoft hiện đã đặt nhầm chỗ?
Chúng ta có cần tiết chế hay bắt đầu giảm sự phụ thuộc vào đám mây của Microsoft hay chúng ta nên tiếp tục bất chấp và hy vọng không phạm phải cuộc tấn công tiếp theo do nhà nước bảo trợ?