Gã khổng lồ phần mềm Microsoft tiết lộ vào giữa tháng 1 năm 2024 rằng hệ thống của họ đã bị nhóm hack Midnight Blizzard do Nga hậu thuẫn xâm nhập thành công vào cuối năm 2023, như một phần của hoạt động thu thập thông tin có mục tiêu và phối hợp.
Microsoft đã xác nhận chi tiết về cuộc tấn công trong một tuyên bố được công bố trực tuyến vào thứ Sáu ngày 19 tháng 1 năm 2024, trong đó hãng tiết lộ rằng cuộc tấn công được phát hiện lần đầu tiên vào ngày 12 tháng 1 năm 2024 và việc kích hoạt ngay lập tức các quy trình phản hồi nội bộ của mình có nghĩa là họ có thể loại bỏ ngay lập tức các tin tặc khỏi hệ thống của mình. hệ thống.
Microsoft cho biết trong tuyên bố của mình: “Cho đến nay, không có bằng chứng nào cho thấy tác nhân đe dọa có bất kỳ quyền truy cập nào vào môi trường khách hàng, hệ thống sản xuất, mã nguồn hoặc hệ thống AI (trí tuệ nhân tạo).
“Chúng tôi sẽ thông báo cho khách hàng nếu có bất kỳ hành động nào được yêu cầu. Cuộc tấn công này làm nổi bật nguy cơ liên tục gây ra cho tất cả các tổ chức từ các tác nhân đe dọa quốc gia có nguồn lực tốt như Midnight Blizzard.”
Và mặc dù Microsoft đã nêu rõ trong tuyên bố của mình rằng không có dữ liệu hoặc dịch vụ khách hàng nào gặp rủi ro trong cuộc tấn công, Microsoft đã công bố một cảnh báo rộng hơn trên Blog thông tin về mối đe dọa bảo mật của mình vào ngày 25 tháng 1 năm 2024, trong đó cho biết cuộc điều tra về vụ hack vẫn đang được tiến hành- thông tin chi tiết hơn về tác động của cuộc tấn công vẫn có thể được đưa ra ánh sáng.
Do đó, đây là năm câu hỏi mà người dùng doanh nghiệp sử dụng dịch vụ đám mây của Microsoft nên hỏi CIO, CTO và CISO của họ sau cuộc tấn công này.
-
Microsoft tự thể hiện mình là một nền tảng an toàn nội tại – điều đó có còn đúng không?
Đây là một câu hỏi quan trọng vì hồ sơ rủi ro của một công ty phải được đánh giá lại liên tục, liên tục trong bất kỳ trường hợp nào và hàng loạt vụ hack gần đây của Microsoft phải nằm trong tầm ngắm rủi ro của họ.
Không rõ bằng cách nào (hoặc thậm chí liệu) Microsoft có thể đảm bảo 100% toàn bộ môi trường đám mây của họ hiện sạch sẽ và không có tin tặc hay không. Họ đã báo cáo rằng họ đã bị tấn công thành công nhiều lần bởi các nhóm hack do Trung Quốc và Nga hậu thuẫn.
-
Chúng ta có đang dựa vào các biện pháp kiểm soát bảo mật giống như Microsoft không?
Microsoft tiết lộ rằng các tin tặc Midnight Blizzard đã ở bên trong hệ thống của họ tới 42 ngày trước khi chúng được tìm thấy – và điều này bất chấp việc họ có nguồn lực bảo mật toàn cầu chưa từng có và các công nghệ đồng thí điểm bảo mật hỗ trợ trí tuệ nhân tạo để giám sát nó.
Bản phát hành chi tiết của Microsoft về vi phạm cho thấy công ty chỉ phát hiện ra vụ hack thông qua việc kiểm tra nhật ký Exchange chứ không phải thông qua các công cụ bảo mật thế hệ tiếp theo này.
Những công cụ đó đã được phát triển mạnh mẽ và được hầu hết khách hàng của Microsoft áp dụng với tốc độ nhanh chóng trong sáu tháng qua, nhưng trong thử nghiệm thực tế này về công nghệ bảo mật của công ty, công bằng mà nói chúng có thể đã thất bại.
Các công ty cần hiểu mức độ phụ thuộc của họ vào khả năng bảo mật của Microsoft trong trường hợp họ cần tăng cường phòng thủ.
-
Một công ty có thể tự tin đến mức nào khi họ không bị ảnh hưởng bởi cuộc tấn công này?
Microsoft cho biết không có bằng chứng nào cho thấy có sự thỏa hiệp đối với bất kỳ khách hàng nào, nhưng khi một hacker cấp quốc gia có sáu tuần để tự do di chuyển trong cơ sở hạ tầng CNTT, thì khó có khả năng họ đã tự giới hạn mình.
Trong blog thông tin về mối đe dọa bảo mật của Microsoft, công ty đã khuyến cáo “các chính phủ, tổ chức ngoại giao, tổ chức phi chính phủ (NGO) và các nhà cung cấp dịch vụ CNTT, chủ yếu ở Hoa Kỳ và Châu Âu” nên lưu ý về các cuộc tấn công và cách xác định xem chúng có bị tấn công hay không. bị tổn hại tương tự.
Điều này có thể chỉ ra rằng Microsoft tin rằng các cuộc tấn công đã mở rộng ra ngoài môi trường công ty của chính họ.
-
Nếu chúng tôi phải ngắt kết nối khỏi Microsoft, điều đó có ý nghĩa gì đối với hoạt động kinh doanh của chúng tôi?
Nền tảng đám mây của Microsoft, Azure và Microsoft 365, mang tính toàn cầu và không bị phân chia theo khu vực. Vì vậy, chúng không nhất thiết phải có ‘cửa ngăn lửa’ hoặc cửa kín nước để ngăn chặn tác động của kẻ tấn công.
Khi các tổ chức kết nối với đám mây của Microsoft, họ thường thực hiện theo cách tiếp cận mạng ngang hàng, mở rộng dịch vụ thư mục và địa chỉ mạng của họ vào đám mây như một phần mở rộng của mạng công ty.
Điều này có nghĩa là ngay cả việc đình chỉ tạm thời các dịch vụ đám mây của Microsoft cũng có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh. Hiểu mức độ cam kết của doanh nghiệp trong việc tiếp tục kết nối với Microsoft là một phần quan trọng trong việc quản lý rủi ro và rủi ro tổng thể của công ty.
-
Với những điều trên, mức độ phơi nhiễm thực tế của chúng ta là bao nhiêu?
Điều này phụ thuộc rất nhiều vào mục đích doanh nghiệp sử dụng đám mây của Microsoft cũng như mức độ sử dụng đó và bản chất của tổ chức liên quan.
Nhiều công ty gặp khó khăn trong việc hiểu thông tin nội bộ cốt lõi như danh tính người dùng có giá trị như thế nào đối với doanh nghiệp và bạn cũng cần xem xét quyền sở hữu trí tuệ (IPR) và mọi dữ liệu mà tổ chức có thể chịu trách nhiệm theo quy định.
Cuối cùng, hãy lưu ý rằng mọi vấn đề bảo mật liên quan đến Microsoft theo mặc định đều là tin tức toàn cầu, do đó, vấn đề đó cũng phải được đưa vào đánh giá rủi ro danh tiếng của bất kỳ người dùng nào.