Microsoft перевела сервис подписания учетных записей Microsoft Account (MSA) на защищённые виртуальные машины Azure Confidential VMs с целью повышения безопасности после масштабного взлома Storm-0558 в 2023 году. Кроме того, компания приступила к миграции службы подписания Microsoft Entra ID на те же виртуальные машины.
Примерно за семь месяцев до этого шага Microsoft обновила системы Entra ID и Microsoft (для публичного и правительственного облаков США), внедрив использование Azure Managed Hardware Security Module (HSM), что обеспечило создание, хранение и автоматическую ротацию ключей подписания токенов доступа. Основной задачей этих мер является снижение вероятности эксплойта, похожего на атаку Storm-0558.
Чарли Белл, исполнительный вице-президент по безопасности Microsoft, отметил: «Каждое из этих улучшений помогает снизить векторы атак, которых, по нашим предположениям, придерживался злоумышленник в атаке Storm-0558 2023 года».
По данным Microsoft, 90% токенов удостоверения личности, выдаваемых Microsoft Entra ID для приложений компании, проверяются с помощью усовершенствованного программного комплекта (SDK), а 92% сотрудников используют многофакторную аутентификацию, устойчивую к фишинговым атакам. Для разработки 81% основных производственных кодовых веток теперь применяются MFA с проверками «доказательства присутствия». В дополнение Microsoft ввела двухлетний период хранения журналов безопасности и изолировала производственные системы для повышения защиты.
В числе дополнительных проектов — пилотный перевод процессов поддержки клиентов в отдельный тенант для снижения риска латерального перемещения злоумышленников внутри инфраструктуры. Также усиливаются стандарты безопасности для всех типов тенантов Microsoft и запускается новая система их автоматической регистрации в системе экстренного реагирования безопасности.
Все эти меры входят в стратегическую инициативу Secure Future Initiative (SFI), которую Microsoft называет крупнейшим в истории проектом по кибербезопасности и самой масштабной инициативой такого рода в компании. Импульсом для SFI послужил отчет U.S. Cyber Safety Review Board (CSRB), в котором критиковались ошибки Microsoft, допущенные и ставшие причиной взломов.
Группа Storm-0558, известная как государственные хакеры из Китая, в 2023 году взломала почти два десятка компаний в Европе и США. В июле 2023 года Microsoft раскрыла, что ошибка проверки в исходном коде позволила злоумышленникам подделывать токены Azure Active Directory (Azure AD)/Entra ID, используя ключи подписи MSA consumer. Это привело к несанкционированному доступу к корпоративной электронной почте и утечке данных.
В конце 2023 года компания запустила Windows Resiliency Initiative для повышения устойчивости и безопасности систем Windows, направленную на предотвращение сбоев наподобие инцидента с обновлением CrowdStrike в июле 2024 года. В рамках этой инициативы реализована функция Quick Machine Recovery, позволяющая администраторам автоматически восстанавливать работоспособность Windows на заблокированных ПК через Windows Recovery Environment (WinRE) без необходимости вмешательства пользователя.
Руди Умс из Patch My PC в конце августа 2024 года пояснил: «Процесс облачного восстановления проверяет параметры CloudRemediation, AutoRemediation и, по необходимости, HeadlessMode. При соблюдении условий сети и наличия нужных плагинов, Windows бесшумно начинает автоматическое восстановление».
Таким образом, Microsoft учитывает риски современных кибератак, внедряя комплексные технические меры защиты, обновляя инфраструктуру и повышая стандарты безопасности во всех звеньях цепочки.
Изображение носит иллюстративный характер
Примерно за семь месяцев до этого шага Microsoft обновила системы Entra ID и Microsoft (для публичного и правительственного облаков США), внедрив использование Azure Managed Hardware Security Module (HSM), что обеспечило создание, хранение и автоматическую ротацию ключей подписания токенов доступа. Основной задачей этих мер является снижение вероятности эксплойта, похожего на атаку Storm-0558.
Чарли Белл, исполнительный вице-президент по безопасности Microsoft, отметил: «Каждое из этих улучшений помогает снизить векторы атак, которых, по нашим предположениям, придерживался злоумышленник в атаке Storm-0558 2023 года».
По данным Microsoft, 90% токенов удостоверения личности, выдаваемых Microsoft Entra ID для приложений компании, проверяются с помощью усовершенствованного программного комплекта (SDK), а 92% сотрудников используют многофакторную аутентификацию, устойчивую к фишинговым атакам. Для разработки 81% основных производственных кодовых веток теперь применяются MFA с проверками «доказательства присутствия». В дополнение Microsoft ввела двухлетний период хранения журналов безопасности и изолировала производственные системы для повышения защиты.
В числе дополнительных проектов — пилотный перевод процессов поддержки клиентов в отдельный тенант для снижения риска латерального перемещения злоумышленников внутри инфраструктуры. Также усиливаются стандарты безопасности для всех типов тенантов Microsoft и запускается новая система их автоматической регистрации в системе экстренного реагирования безопасности.
Все эти меры входят в стратегическую инициативу Secure Future Initiative (SFI), которую Microsoft называет крупнейшим в истории проектом по кибербезопасности и самой масштабной инициативой такого рода в компании. Импульсом для SFI послужил отчет U.S. Cyber Safety Review Board (CSRB), в котором критиковались ошибки Microsoft, допущенные и ставшие причиной взломов.
Группа Storm-0558, известная как государственные хакеры из Китая, в 2023 году взломала почти два десятка компаний в Европе и США. В июле 2023 года Microsoft раскрыла, что ошибка проверки в исходном коде позволила злоумышленникам подделывать токены Azure Active Directory (Azure AD)/Entra ID, используя ключи подписи MSA consumer. Это привело к несанкционированному доступу к корпоративной электронной почте и утечке данных.
В конце 2023 года компания запустила Windows Resiliency Initiative для повышения устойчивости и безопасности систем Windows, направленную на предотвращение сбоев наподобие инцидента с обновлением CrowdStrike в июле 2024 года. В рамках этой инициативы реализована функция Quick Machine Recovery, позволяющая администраторам автоматически восстанавливать работоспособность Windows на заблокированных ПК через Windows Recovery Environment (WinRE) без необходимости вмешательства пользователя.
Руди Умс из Patch My PC в конце августа 2024 года пояснил: «Процесс облачного восстановления проверяет параметры CloudRemediation, AutoRemediation и, по необходимости, HeadlessMode. При соблюдении условий сети и наличия нужных плагинов, Windows бесшумно начинает автоматическое восстановление».
Таким образом, Microsoft учитывает риски современных кибератак, внедряя комплексные технические меры защиты, обновляя инфраструктуру и повышая стандарты безопасности во всех звеньях цепочки.
