Sicurezza Microsoft “inadeguata” per il governo americano | Nuovo sistema di controllo

3 months ago 120

Microsoft è sotto esame del governo americano per una violazione della privacy nel trattamento dei dati dei minori.

6 AGOSTO 2024 | A tre mesi dal richiamo di Nadella Microsoft ha messo a punto un sistema di giudizio dei dipendenti sulla sicurezza denominato Connect che permetterà di valutarne l’operato. Ecco la comunicazione interna:

In Microsoft, forniamo infrastrutture mission-critical da cui il mondo dipende per ottenere di più. Con questa fiducia in noi arriva una grande responsabilità: proteggere i nostri clienti, la nostra azienda e il nostro mondo dalle minacce informatiche. Come dipendenti Microsoft, abbiamo tutti un ruolo in questa responsabilità.

Come ha fatto riferimento Satya nella sua e-mail del 3 maggio e di nuovo durante il suo avvio dell’anno fiscale 25 il 9 luglio, la sicurezza è la nostra priorità numero uno e tutti in Microsoft avranno la sicurezza come priorità fondamentale. Quando ci si trova di fronte a un compromesso, la risposta è chiara e semplice: la sicurezza prima di tutto. Il nostro impegno per la sicurezza è duraturo. Nuovi e inediti attacchi richiederanno che continuiamo a imparare, innovare e difenderci. Tuttavia, lavorando insieme, apporteremo miglioramenti non lineari, resteremo vigili e soddisferemo le aspettative dei nostri clienti. Loro contano su di noi e il nostro futuro dipende dalla loro fiducia.

La nostra nuova Security Core Priority rafforza il nostro impegno per la sicurezza e ci rende responsabili della creazione di prodotti e servizi sicuri. È ora disponibile nello strumento Connect per la maggior parte dei dipendenti e stiamo collaborando con i team geo HR per estendere l’accesso a tutti i dipendenti a livello globale. La Security Core Priority non è un esercizio di conformità da spuntare; è un modo per ogni dipendente e manager di impegnarsi a dare priorità alla sicurezza e di esserne responsabili, e un modo per noi di codificare i tuoi contributi e di riconoscerti per il tuo impatto. Dobbiamo tutti agire con una mentalità che mette la sicurezza al primo posto, parlare e cercare proattivamente opportunità per garantire la sicurezza in tutto ciò che facciamo.

La priorità fondamentale sarà composta da due parti:

Elementi fondamentali e comuni che si applicano a tutti i dipendenti

Una sezione facoltativa in cui i dipendenti possono specificare ulteriormente come attiveranno la Security Core Priority in base al loro ruolo, team, organizzazione, ecc.

Tutti i dipendenti stabiliranno la loro Security Core Priority come parte del loro primo FY25 Connect, con l’intento che durante le normali conversazioni Connect, tu e il tuo manager discuterete i progressi e l’impatto della Security Core Priority. Questo processo seguirà lo stesso approccio delle altre nostre principali priorità aziendali per Diversity & Inclusion e Manager. Puoi saperne di più sulla Security Core Priority qui, comprese le FAQ e gli esempi di attivazione della Security Core Priority per tre tipi principali di ruoli: tecnico, a contatto con clienti e partner e tutti gli altri ruoli.

Mentre diamo il via al nostro 50° anno come azienda, so che ci sentiamo tutti onorati e umili di essere ancora qui, come azienda rilevante e consequenziale, a perseguire insieme la nostra missione. Quando diamo potere a ogni persona e organizzazione sul pianeta per ottenere di più, affrontiamo le sfide più grandi della società e diamo potere al mondo. Che missione grande, audace e significativa abbiamo, eppure nessuno di noi può darla per scontata. Siamo qui perché i nostri clienti si fidano di noi e dobbiamo continuare a guadagnarci la loro fiducia ogni giorno.

Grazie per il tuo impegno nei confronti della nostra Security Core Priority, che contribuirà a proteggere Microsoft, i nostri clienti e i nostri partner.

4 MAGGIO 2024 | A un mese dal duro rapporto del governo americano, in una lettera al personale, Nadella in persona richiama tutti i dipendenti all’ordine per dare priorità alla sicurezza su tutte le altre mansioni all’interno dell’azienda.

Oggi voglio parlare di un aspetto fondamentale per il futuro della nostra azienda: dare priorità alla sicurezza sopra ogni altra cosa.

Microsoft si basa sulla fiducia e il nostro successo dipende dal guadagnarla e mantenerla. Abbiamo l’opportunità e la responsabilità uniche di costruire la piattaforma più sicura e affidabile su cui il mondo innova.

I recenti risultati del Cyber ​​Safety Review Board (CSRB) del Dipartimento per la sicurezza interna in merito all’attacco informatico Storm-0558, dell’estate 2023, sottolineano la gravità delle minacce che la nostra azienda e i nostri clienti devono affrontare, nonché la nostra responsabilità di difenderci da queste minacce sempre più numerose. attori di minacce sofisticate.

Lo scorso novembre abbiamo lanciato la nostra Secure Future Initiative (SFI) con questa responsabilità in mente, riunendo tutte le parti dell’azienda per migliorare la protezione della sicurezza informatica sia sui nuovi prodotti che sulle infrastrutture legacy. Sono orgoglioso di questa iniziativa e grato per il lavoro svolto per realizzarla. Ma dobbiamo e faremo di più.

In futuro, impegneremo l’intera nostra organizzazione a favore di SFI, poiché raddoppieremo questa iniziativa con un approccio fondato su tre principi fondamentali:

  • Secure by Design: la sicurezza viene prima di tutto quando si progetta qualsiasi prodotto o servizio.
  • Sicuro per impostazione predefinita: le protezioni di sicurezza sono abilitate e applicate per impostazione predefinita, non richiedono sforzi aggiuntivi e non sono facoltative.
  • Operazioni sicure: i controlli e il monitoraggio della sicurezza verranno continuamente migliorati per far fronte alle minacce attuali e future.

Questi principi governeranno ogni aspetto dei nostri pilastri SFI mentre noi: proteggiamo identità e segreti, proteggiamo gli inquilini e isoliamo i sistemi di produzione, proteggiamo le reti, proteggiamo i sistemi di ingegneria, monitoriamo e rileviamo le minacce e acceleriamo la risposta e la riparazione. Abbiamo condiviso azioni specifiche a livello aziendale che ciascuno di questi pilastri comporterà, comprese quelle raccomandate nel rapporto del CSRB, di cui puoi trovare informazioni qui. In Microsoft, ci mobiliteremo per implementare e rendere operativi questi standard, linee guida e requisiti e questa sarà una dimensione aggiuntiva delle nostre decisioni in materia di assunzioni e premi. Inoltre, infonderemo responsabilità basando parte della retribuzione del gruppo dirigente senior sui nostri progressi nel raggiungimento dei nostri piani e traguardi di sicurezza.

Dobbiamo affrontare questa sfida con rigore sia tecnico che operativo e concentrandoci sul miglioramento continuo. Ogni attività che svolgiamo, da una riga di codice a un processo per un cliente o un partner, è un’opportunità per contribuire a rafforzare la nostra sicurezza e quella del nostro intero ecosistema. Ciò include imparare dai nostri avversari e la crescente sofisticazione delle loro capacità, come abbiamo fatto con Midnight Blizzard. E imparando dai trilioni di segnali unici che monitoriamo costantemente per rafforzare la nostra postura generale. Comprende anche una collaborazione più forte e più strutturata tra il settore pubblico e quello privato.

La sicurezza è uno sport di squadra e accelerare SFI non è solo il lavoro numero uno per i nostri team di sicurezza: è la massima priorità di tutti e la più grande esigenza dei nostri clienti.

Se ti trovi di fronte al compromesso tra la sicurezza e un’altra priorità, la tua risposta è chiara: fai sicurezza . In alcuni casi, ciò significherà dare priorità alla sicurezza rispetto ad altre cose che facciamo, come il rilascio di nuove funzionalità o la fornitura di supporto continuo per i sistemi legacy. Questa è la chiave per migliorare sia la qualità che le capacità della nostra piattaforma in modo da poter proteggere il patrimonio digitale dei nostri clienti e costruire un mondo più sicuro per tutti.

Satya

4 APRILE 2024 | Dopo l’analisi Microsoft, arriva il rapporto del Cyber ​​Safety Review Board del dipartimento di sicurezza americano, che indica come l’attacco fosse prevedibile e Microsoft avrebbe dovuto fare di più per impedirlo. Per tanto il CSRB ha concluso che i sistemi di sicurezza Microsoft richiedono una revisione, che l’azienda ha già provveduto ad apportare nei mesi scorsi.

Il Consiglio ritiene che questa intrusione fosse prevenibile e non avrebbe mai dovuto verificarsi. Il Consiglio conclude inoltre che la cultura della sicurezza di Microsoft era inadeguata e richiede una revisione, soprattutto alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i propri dati e le proprie operazioni.

7 SETTEMBRE 2023 | Dopo essere stata messa sotto indagine dal governo americano, Microsoft ha pubblicato i risultati della propria analisi interna sull’accaduto spiegando come gli hacker hanno rubato una chiave di autenticazione da un crash dump, operazione non più possibile dopo aver rafforzato i sistemi di protezione – trovate maggiori dettagli a questo indirizzo.

Microsoft ha eseguito un’indagine tecnica completa sull’acquisizione della chiave di firma consumer dell’account Microsoft, compreso il modo in cui veniva utilizzata per accedere alla posta elettronica aziendale. La nostra indagine tecnica si è conclusa. Nell’ambito del nostro impegno per la trasparenza e la fiducia, pubblichiamo i risultati delle nostre indagini.

La nostra indagine ha rilevato che un arresto anomalo del sistema di firma del consumatore nell’aprile del 2021 ha prodotto un’istantanea del processo bloccato (“crash dump”). I crash dump, che oscurano informazioni sensibili, non dovrebbero includere la chiave di firma. In questo caso, una condizione di competizione ha permesso alla chiave di essere presente nel crash dump (questo problema è stato corretto). La presenza del materiale chiave nel crash dump non è stata rilevata dai nostri sistemi (questo problema è stato corretto).

Abbiamo scoperto che questo crash dump, che all’epoca si riteneva non contenesse materiale chiave, è stato successivamente spostato dalla rete di produzione isolata al nostro ambiente di debug sulla rete aziendale connessa a Internet. Ciò è coerente con i nostri processi di debug standard. I nostri metodi di scansione delle credenziali non ne hanno rilevato la presenza (questo problema è stato corretto).  

Dopo l’aprile 2021, quando la chiave è trapelata nell’ambiente aziendale nel crash dump, l’attore di Storm-0558 è riuscito a compromettere con successo l’account aziendale di un ingegnere Microsoft. Questo account aveva accesso all’ambiente di debug contenente il dump del crash che conteneva erroneamente la chiave. A causa delle politiche di conservazione dei log, non disponiamo di log con prove specifiche di questa esfiltrazione da parte di questo attore, ma questo era il meccanismo più probabile attraverso il quale l’attore ha acquisito la chiave.

Microsoft sotto esame in USA

L’amministrazione del Presidente degli Stati Uniti Biden avrebbe avviato un’indagine per chiarire le responsabilità sugli account e-mail compromessi nell’attacco hacker proveniente dalla Cina alla vulnerabilità di Outlook ed Exchange. Nonostante abbia già rilasciato le patch di sicurezza per correggere la falla lo scorso luglio Microsoft sarebbe sotto esame da parte del Cyber ​​Safety Review Board, un comitato consultivo sulla sicurezza informatica. Secondo esponenti del governo ci sarebbe una parte considerevole di responsabilità di Microsoft che non avrebbe fatto abbastanza per garantire la sicurezza degli accessi agli account di posta.

Le e-mail del governo sono state rubate perché Microsoft ha commesso un altro errore. Microsoft non avrebbe dovuto avere un’unica chiave di scheletro che, se inevitabilmente rubata, potesse essere utilizzata per falsificare l’accesso alle comunicazioni private di diversi clienti.

Microsoft è sotto l’occhio del ciclone anche da parte di alcuni clienti aziendali che di recente hanno iniziato a temere per la violazione dei propri dati sensibili dal cloud dopo le ultime faccende.

Cosa ne pensate delle vicende di violazione dei dati che stanno interessando Microsoft? Ditecelo nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2

Read Entire Article