La sicurezza di Microsoft sotto esame dopo l'attacco informatico cinese.

La recente intrusione informatica cinese ha acceso un importante dibattito sulla responsabilità dei fornitori di servizi cloud nel garantire la sicurezza dei propri clienti. Il servizio cloud di alto livello di Microsoft, che apparentemente offre una maggiore sicurezza, è diventato un punto focale, con i funzionari dell'amministrazione Biden e il senatore Ron Wyden che hanno criticato l'azienda per non aver reso disponibili a tutti gli utenti informazioni cruciali relative alla registrazione.

Il software di registrazione svolge un ruolo fondamentale nel rilevare e indagare gli attacchi informatici, tenendo traccia di tutte le attività del server. Tuttavia, questo incidente ha rivelato che i dati di registrazione critici necessari per identificare l'attacco erano disponibili esclusivamente ai clienti del servizio cloud premium di Microsoft, secondo i funzionari della Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Nazionale che collaborano con il team di risposta agli incidenti di Microsoft DART.

L'attacco hacker reso pubblico ha colpito quasi due dozzine di organizzazioni in tutto il mondo, tra cui i Dipartimenti di Stato e del Commercio. Non si è trattato di una violazione ordinaria, ma di un attacco caratterizzato da un livello di sofisticazione tecnica insolito, mirato a vittime specifiche, che ha messo in evidenza la posta in gioco per la sicurezza informatica nell'era digitale.

Il Dipartimento di Stato ha individuato per primo l'intrusione, segnalandola a Microsoft il mese precedente. Tuttavia, lo strumento utilizzato per scoprire la violazione non è incluso in tutti i pacchetti Microsoft 365. Questo strumento fa parte del pacchetto di licenze Microsoft 365 di livello più alto, noto come E5, che ha un prezzo superiore di circa il 60% rispetto al pacchetto E3 e offre una gamma più ampia di funzionalità. Per gli enti governativi, questi pacchetti sono identificati rispettivamente come G5 e G3.

Sulla scia dell'episodio di hacking, mercoledì i funzionari dell'amministrazione Biden hanno affermato che Microsoft deve rendere tali informazioni vitali ampiamente accessibili. Durante una conferenza stampa dedicata all'incidente, un alto funzionario della Cybersecurity and Infrastructure Security Agency (CISA) ha sottolineato che "ogni organizzazione che utilizza un servizio tecnologico come Microsoft 365 dovrebbe avere accesso ai dati di registrazione e ad altri dati di sicurezza pronti all'uso per rilevare in modo ragionevole le attività informatiche dannose".

Ogni organizzazione che utilizza un servizio tecnologico come Microsoft 365 dovrebbe avere accesso alla registrazione e ad altri dati di sicurezza pronti all'uso per rilevare in modo ragionevole attività informatiche dannose.

-Funzionario senior della CISA

Parallelamente, è in corso un'indagine per determinare se Microsoft abbia rispettato le disposizioni federali in materia di sicurezza informatica per i fornitori di servizi cloud. Il senatore Ron Wyden, figura attiva nella Commissione Intelligence del Senato per le questioni relative alla sicurezza informatica e alle politiche tecnologiche, ha criticato la pratica di addebitare costi aggiuntivi per funzioni di sicurezza essenziali. Ha paragonato questa pratica alla vendita di un'auto e all'addebito di costi aggiuntivi per le cinture di sicurezza e gli airbag.

In risposta alla crescente pressione, Microsoft ha annunciato che sta valutando possibili soluzioni. Giovedì un portavoce di Microsoft ha dichiarato: "Stiamo valutando i feedback e siamo aperti ad altri modelli. Stiamo collaborando attivamente con la CISA e altre agenzie su questo tema".

La scoperta di questa campagna di hacking su larga scala è stata possibile grazie agli specialisti della sicurezza del Dipartimento di Stato che, grazie agli strumenti di registrazione, hanno notato attività insolite sulla loro rete nel mese di giugno. Dopo essere stata informata della situazione, Microsoft è riuscita a identificare le vittime, anche quelle che non avevano sottoscritto il servizio premium.

Il nocciolo della questione risiede nei file di log, ovvero registrazioni digitali che tracciano l'attività sul cloud di Microsoft. Questi log contengono informazioni preziose, come il browser e il sistema operativo utilizzati per accedere al sistema, fondamentali per rintracciare attività criminali dopo un attacco hacker.

La complessità nasce con l'avvento del cloud computing, dove le responsabilità vengono divise tra gli operatori cloud come Microsoft e i loro clienti. I fornitori sostengono che conservare grandi volumi di dati di questo tipo può essere costoso, mentre i clienti spesso non sono consapevoli della necessità di questi registri fino a quando non si verifica un attacco hacker, momento in cui potrebbe essere troppo tardi per recuperarli.

Volexity, un'azienda specializzata in sicurezza informatica, ha portato alla luce un caso specifico in cui i log limitati della licenza Microsoft 365 E3 meno costosa di un cliente non sono riusciti a rivelare prove dell'attacco. Questo problema sottolinea l'importanza di funzionalità di registrazione complete e solleva interrogativi sull'opportunità di rendere accessibili a tutti gli utenti le funzionalità di sicurezza premium.

Con la diffusione del cloud computing, spetta sia ai fornitori di servizi cloud che ai clienti garantire l'adozione di misure adeguate per individuare e mitigare gli attacchi informatici. Questo incidente ricorda chiaramente le lacune che possono esistere nell'infrastruttura di sicurezza informatica e l'importanza di adottare un approccio globale alla sicurezza digitale.