دعم أمان Microsoft
دعم Microsoft للحكومة
تقرير حكومي أمريكي يوصي بإصلاح أمن السحابة في مايكروسوفت.
CSRB تنتقد مايكروسوفت وتدعو إلى إصلاح أمن السحابة
كشف تقرير صادر مؤخراً عن الحكومة الأمريكية عن مخاوف أمنية كبيرة بشأن تعامل شركة مايكروسوفت مع أمن السحابة الإلكترونية، في أعقاب اختراق كبير من قبل قراصنة صينيين مدعومين من الدولة.
يسلط التقرير، الصادر عن مجلس مراجعة السلامة الإلكترونية الأمريكي (CSRB)، الضوء على سلسلة من الإخفاقات التشغيلية والقرارات الاستراتيجية التي اتخذتها شركة مايكروسوفت والتي سمحت لهؤلاء القراصنة بالتسلل إلى حسابات البريد الإلكتروني لكبار المسؤولين الأمريكيين. ولم يقتصر التقرير على انتقاد مايكروسوفت فحسب، بل دعا أيضًا إلى إجراء إصلاحات أوسع نطاقًا في مجال أمن السحابة الإلكترونية.
الخرق وآثاره
المديرون التنفيذيون قلقون بشأن خرق الأمن السيبراني.
اختراق الأمن، الذي تم الإبلاغ عنه لأول مرة في يوليو 2023، تورطت فيه مجموعة قرصنة تُعرف باسم Storm-0588، والتي يُعتقد أن لها صلات بالحكومة الصينية. تمكنت هذه المجموعة من اختراق حساب شركة مهندس في Microsoft، مما سمح لها بعد ذلك بالوصول إلى أنظمة حساسة تابعة للحكومة الأمريكية.
يصف التقرير هذا الحادث بأنه "كان يمكن تجنبه" ويشير إلى سلسلة من الأخطاء في بروتوكولات الأمان الخاصة بشركة Microsoft.
اخترق القراصنة البريد الإلكتروني لـ 22 منظمة وأكثر من 500 فرد، بما في ذلك شخصيات بارزة مثل سفير الولايات المتحدة في الصين. بالإضافة إلى ذلك، تم تنزيل حوالي 60,000 رسالة بريد إلكتروني من وزارة الخارجية الأمريكية.
يؤكد هذا الخرق الدور الحاسم الذي تلعبه Microsoft في النظام البيئي التكنولوجي العالمي ومستوى الثقة التي يضعها العملاء في الشركة لحماية بياناتهم وعملياتهم.
نتائج لجنة مراجعة السلامة الإلكترونية الأمريكية
كان تقرير CSRB واضحًا في انتقاده لممارسات مايكروسوفت في مجال أمن السحابة. وسلط الضوء على عدة مجالات قصرت فيها مايكروسوفت:
- ضوابط أمن الهوية غير الكافية: أشار التقرير إلى أن Microsoft تفتقر إلى ضوابط أمن الهوية التي تعتبر معيارًا لدى مزودي خدمات السحابة الآخرين.
- ممارسات تشفير قديمة: استغل القراصنة مفتاح تشفير من عام 2016 للحصول على وصول غير مصرح به، مما يشير إلى ممارسات قديمة لتدوير المفاتيح.
- فشل الضوابط التنظيمية والحوكمة: انتقد التقرير فشل مايكروسوفت في إعطاء الأولوية للأمن، مشيرًا إلى الحاجة إلى تغيير ثقافي داخل المنظمة.
أوصت لجنة CSRB قيادة Microsoft بوضع وتنفيذ خطة لإجراء إصلاحات جوهرية تركز على الأمن في جميع منتجاتها وخدماتها.
كما اقترحت أن يتوقف مزودي خدمات السحابة عن فرض رسوم على العملاء مقابل سجلات الأمان، التي تعتبر أساسية للكشف عن الاختراقات ومنعها.
النتائج الرئيسية من تقرير CSRB
| البحث | الوصف |
|---|---|
| ضعف أمن الهوية | افتقرت Microsoft إلى ضوابط أمنية مشتركة للهوية. |
| التشفير القديم | استخدم المتسللون مفتاح تشفير قديم يعود إلى عام 2016. |
| ضعف الحوكمة الأمنية | تحتاج Microsoft إلى التركيز بشكل أكبر على الأمان. |
استجابة مايكروسوفت ومبادراتها
استجابةً لنتائج CSRB، أطلقت Microsoft "مبادرة المستقبل الآمن" التي تهدف إلى معالجة أوجه القصور الأمنية لديها. وقد التزمت الشركة بتنفيذ توصيات المجلس، وقامت بالفعل بإتاحة بعض سجلات الأمان كجزء من حزمة خدمات السحابة القياسية الخاصة بها.
شهد نائب رئيس مجلس إدارة شركة مايكروسوفت ورئيسها، براد سميث، أمام لجنة الأمن الداخلي بمجلس النواب، مؤكداً التزام الشركة بتحسين وضعها في مجال الأمن السيبراني.
تقرير حكومي أمريكي يوصي بإصلاح أمن السحابة في مايكروسوفت.
التزمت Microsoft بتنفيذ جميع التوصيات الـ 16 الصادرة عن CSRB والتي تنطبق على الشركة، والتي تشمل إجراءات محددة لحماية الهويات والأسرار، وتعزيز أمن الشبكات، وتحسين قدرات الكشف عن التهديدات والاستجابة لها. تركز المبادرة على ثلاثة مبادئ أساسية للأمن: الأمان حسب التصميم، والأمان الافتراضي، وعمليات الأمان.
توجه هذه المبادئ عملية تطوير ونشر منتجات وخدمات Microsoft، مما يضمن دمج الأمان منذ البداية وتحسينه باستمرار لمواجهة التهديدات المتطورة.
رد مايكروسوفت على توصيات CSRB
| مبادرة | التفاصيل |
|---|---|
| خطة مستقبل آمن | يهدف إلى إصلاح مشكلات الأمان، بما في ذلك تحسين السجلات وحماية الهوية. |
| 16 إجراءً رئيسياً | تعزيز أمن الشبكة وتحسين اكتشاف التهديدات. |
| مبادئ الأمن الأساسية | "الأمان حسب التصميم" و"الأمان الافتراضي" و"العمليات الآمنة". |
التوازن بين الأمن السيبراني والربح.
بالإضافة إلى هذه الإجراءات الفنية، تركز Microsoft أيضًا على التغييرات الثقافية والتنظيمية لتعزيز نهجها الذي يضع الأمن في المقام الأول. ويشمل ذلك ربط أهداف الأمن بمكافآت القيادة، مما يضمن المساءلة ويوائم أهداف الشركة مع التزاماتها الأمنية.
كما دعت مايكروسوفت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى مقرها الرئيسي لحضور إحاطة فنية مفصلة حول تنفيذ توصيات CSRB، مما يدل على الشفافية والاستعداد للتعاون مع الوكالات الحكومية لتعزيز تدابير الأمن.
التحديات والانتقادات
على الرغم من جهود مايكروسوفت، تواجه الشركة تحديات كبيرة في استعادة الثقة وضمان أمان قوي:
الربح مقابل الأمن
كشفت تحقيقات ProPublica أن Microsoft كانت في السابق تضع الربح قبل الأمن، متجاهلةً التحذيرات بشأن العيوب الخطيرة من أجل الحصول على عقود حكومية. وقد أدى ذلك إلى تشكيك في التزام الشركة بالأمن.
الضعف المستمر
أبرز تقرير CSRB والتحقيقات اللاحقة نقاط الضعف المستمرة في خدمات السحابة من Microsoft، مما يستلزم إجراء تحسينات مستمرة وزيادة اليقظة.
الآثار على مستوى الصناعة
تقرير CSRB له آثار أوسع نطاقاً على صناعة الحوسبة السحابية، حيث يدعو إلى إعادة تقييم ممارسات الأمان لدى جميع مزودي الخدمات السحابية، وليس فقط Microsoft. ويوصي التقرير بأن تقود وكالة الأمن السيبراني وأمن البنية التحتية (CISA) الجهود الرامية إلى تحديد واعتماد معايير دنيا لتسجيل عمليات التدقيق في الخدمات السحابية.
وهذا من شأنه أن يضمن للعملاء إمكانية الوصول إلى سجلات الأمان الأساسية دون تكبد تكاليف إضافية، مما يمكّنهم من اكتشاف الحوادث الأمنية والاستجابة لها بشكل أكثر فعالية.
تؤكد هذه التوصية على الحاجة إلى الشفافية والمساءلة في صناعة الحوسبة السحابية. من خلال وضع ممارسات أمنية موحدة، يمكن لمقدمي خدمات الحوسبة السحابية تعزيز ثقة العملاء وتقليل مخاطر الانتهاكات.
كما يسلط التقرير الضوء على أهمية التعاون بين الوكالات الحكومية والشركات الخاصة لتطوير هذه المعايير وتطبيقها، مما يضمن اتباع نهج موحد للأمن السيبراني في جميع أنحاء الصناعة.
الطريق إلى الأمام
بالنسبة إلى Microsoft، لا يقتصر المسار المستقبلي على معالجة المخاوف الأمنية الفورية فحسب، بل يشمل أيضًا تعزيز ثقافة أمنية تتغلغل في كل جانب من جوانب عملياتها. ويشمل ذلك ما يلي:
- تعزيز ثقافة الأمان: تحتاج Microsoft إلى إعطاء الأولوية للأمان على جميع المستويات، بدءًا من تصميم المنتجات وحتى الممارسات التشغيلية.
- تنفيذ أفضل الممارسات: يجب على الشركة اعتماد أفضل معايير الأمان في فئتها، مثل المصادقة متعددة العوامل ونماذج الوصول بأقل الامتيازات، في جميع خدماتها.
زيادة الشفافية والمساءلة: من خلال ربط الأهداف الأمنية بمكافآت القيادة، تهدف Microsoft إلى ضمان المساءلة والشفافية في مبادراتها الأمنية.
الخيار الأول
من الواضح أن مجال الحوسبة السحابية يتطور بسرعة. في هذا السياق، تبرز US Cloud كبديل متميز عن غيرها من مزودي الخدمات. نحن نصمم حلولاً مخصصة لتلبية الاحتياجات المحددة لشركتك مع ضمان الامتثال لأكثر المتطلبات التنظيمية صرامة.
بفضل الأسعار الشفافة، والقضاء على الرسوم الخفية، وفرق الدعم المتفانية على مدار الساعة، فإن US Cloud تلتزم التزامًا راسخًا برضا العملاء. بالنسبة للمؤسسات التي تبحث عن مزود خدمات سحابية يفهم حقًا التحديات الفريدة التي تواجهها ويولي الأولوية لاحتياجاتها الأمنية، فإن US Cloud لا تمثل مجرد بديل، بل خيارًا متميزًا في سوق الخدمات السحابية.
أثناء تنقلك في عالم الحوسبة السحابية والأمن السيبراني المعقد، توفر لك الشراكة مع US Cloud راحة البال والحلول المخصصة اللازمة للنجاح في المشهد الرقمي الحالي.
