Supporto tecnico Microsoft Security
Supporto Microsoft per la pubblica amministrazione

Un rapporto del governo statunitense raccomanda una revisione della sicurezza del cloud Microsoft.

Un rapporto del governo statunitense chiede una revisione della sicurezza del cloud Microsoft dopo una grave violazione da parte di hacker sostenuti dallo Stato cinese.
Mike Jones
Scritto da:
Mike Jones
Pubblicato il settembre 20, 2024
Un rapporto del governo statunitense raccomanda una revisione della sicurezza del cloud Microsoft

Il CSRB critica Microsoft e chiede una riforma della sicurezza nel cloud

Un recente rapporto del governo statunitense ha messo in luce significative preoccupazioni in materia di sicurezza relative alla gestione della sicurezza cloud da parte di Microsoft, a seguito di una grave violazione da parte di hacker cinesi sostenuti dallo Stato.

Il rapporto, pubblicato dal Cyber Safety Review Board (CSRB) degli Stati Uniti, evidenzia una serie di errori operativi e decisioni strategiche da parte di Microsoft che hanno permesso a questi hacker di infiltrarsi negli account di posta elettronica di alti funzionari statunitensi. Il rapporto non solo ha criticato Microsoft, ma ha anche chiesto riforme più ampie nel panorama della sicurezza cloud.

Un rapporto del governo statunitense raccomanda una revisione della sicurezza del cloud Microsoft

La violazione e le sue implicazioni

Uomo d'affari che si copre il viso con le mani davanti al computer portatile, con aria stressata.
I dirigenti sono preoccupati per la violazione della sicurezza informatica.

La violazione della sicurezza, segnalata per la prima volta nel luglio 2023, ha coinvolto un gruppo di hacker noto come Storm-0588, che si ritiene abbia legami con il governo cinese. Questo gruppo è riuscito a compromettere l'account aziendale di un ingegnere Microsoft, che successivamente ha consentito loro di accedere a sistemi sensibili del governo degli Stati Uniti.

Il rapporto descrive questo incidente come "prevenibile" e sottolinea una serie di errori nei protocolli di sicurezza di Microsoft.

Gli hacker hanno avuto accesso alle e-mail di 22 organizzazioni e oltre 500 persone, tra cui personaggi di spicco come l'ambasciatore degli Stati Uniti in Cina. Inoltre, sono state scaricate circa 60.000 e-mail dal Dipartimento di Stato americano.

Questa violazione sottolinea il ruolo fondamentale che Microsoft riveste nell'ecosistema tecnologico globale e il livello di fiducia che i clienti ripongono nell'azienda per la protezione dei propri dati e delle proprie operazioni.

Risultati della Commissione statunitense per la sicurezza informatica

Il rapporto del CSRB è stato inequivocabile nella sua critica alle pratiche di sicurezza cloud di Microsoft. Ha evidenziato diverse aree in cui Microsoft è risultata carente:

  • Controlli di sicurezza dell'identità inadeguati: il rapporto ha rilevato che Microsoft non disponeva dei controlli di sicurezza dell'identità standard tra gli altri fornitori di servizi cloud.
  • Pratiche crittografiche obsolete: gli hacker hanno sfruttato una chiave crittografica del 2016 per ottenere un accesso non autorizzato, evidenziando pratiche obsolete di rotazione delle chiavi.
  • Carenze nei controlli organizzativi e nella governance: il rapporto ha criticato Microsoft per non aver dato priorità alla sicurezza, suggerendo la necessità di un cambiamento culturale all'interno dell'organizzazione.

Il CSRB ha raccomandato alla dirigenza di Microsoft di sviluppare e attuare un piano per introdurre riforme fondamentali incentrate sulla sicurezza in tutti i suoi prodotti e servizi.

Ha inoltre suggerito che i fornitori di servizi cloud dovrebbero smettere di addebitare ai clienti i registri di sicurezza, essenziali per rilevare e prevenire le intrusioni.

Principali risultati del rapporto CSRB

Ricerca Descrizione
Sicurezza dell'identità debole Microsoft non disponeva di controlli comuni per la sicurezza dell'identità.
Crittografia obsoleta Gli hacker hanno utilizzato una vecchia chiave crittografica risalente al 2016.
Scarsa governance della sicurezza Microsoft deve concentrarsi maggiormente sulla sicurezza.

Risposta e iniziative di Microsoft

In risposta alle conclusioni del CSRB, Microsoft ha lanciato la "Secure Future Initiative" volta ad affrontare le sue carenze in materia di sicurezza. L'azienda si è impegnata ad attuare le raccomandazioni del comitato e ha già reso disponibili alcuni registri di sicurezza come parte del suo pacchetto standard di servizi cloud.

Il vicepresidente e presidente di Microsoft, Brad Smith, ha testimoniato davanti alla Commissione per la sicurezza interna della Camera dei rappresentanti, sottolineando l'impegno dell'azienda a migliorare la propria posizione in materia di sicurezza informatica.

Due loghi: a sinistra, il logo del Cyber Safety Review Board con una testa d'aquila su uno scudo. A destra, il logo Microsoft con il quadrato a quattro colori e il nome dell'azienda.
Un rapporto del governo statunitense raccomanda una revisione della sicurezza del cloud Microsoft.

Microsoft si è impegnata ad attuare tutte le 16 raccomandazioni del CSRB applicabili all'azienda, che includono azioni specifiche volte a proteggere identità e segreti, migliorare la sicurezza della rete e potenziare le capacità di rilevamento e risposta alle minacce. L'iniziativa pone l'accento su tre principi fondamentali di sicurezza: sicurezza fin dalla progettazione, sicurezza predefinita e sicurezza delle operazioni.

Questi principi guidano lo sviluppo e l'implementazione dei prodotti e dei servizi Microsoft, garantendo che la sicurezza sia integrata sin dall'inizio e continuamente migliorata per far fronte alle minacce in continua evoluzione.

Risposta di Microsoft alle raccomandazioni del CSRB

Iniziativa Dettagli
Piano per un futuro sicuro Ha lo scopo di risolvere i problemi di sicurezza, tra cui il miglioramento dei registri e la protezione dell'identità.
16 azioni chiave Miglioramento della sicurezza della rete e del rilevamento delle minacce.
Principi fondamentali di sicurezza "Sicurezza fin dalla progettazione", "sicurezza predefinita" e "operatività sicura".
Illustrazione digitale di uno scudo e pile di monete in equilibrio su un'altalena, che brillano di blu su uno sfondo scuro.
Equilibrio tra sicurezza informatica e profitto.

Oltre a queste misure tecniche, Microsoft sta anche puntando su cambiamenti culturali e organizzativi per rafforzare il suo approccio incentrato sulla sicurezza. Questo include legare gli obiettivi di sicurezza alla retribuzione dei dirigenti, il che garantisce la responsabilità e allinea gli obiettivi dell'azienda ai suoi impegni in materia di sicurezza.

Microsoft ha inoltre invitato la Cybersecurity and Infrastructure Security Agency (CISA) presso la propria sede centrale per un briefing tecnico dettagliato sull'attuazione delle raccomandazioni del CSRB, dimostrando trasparenza e disponibilità a collaborare con le agenzie governative per migliorare le misure di sicurezza.

Sfide e critiche

Nonostante gli sforzi di Microsoft, l'azienda deve affrontare sfide significative per ripristinare la fiducia e garantire una sicurezza solida:

Profitto contro sicurezza

Un'indagine condotta da ProPublica ha rivelato che Microsoft aveva precedentemente dato priorità al profitto rispetto alla sicurezza, ignorando presumibilmente gli avvertimenti relativi a difetti critici per assicurarsi contratti governativi. Ciò ha portato a scetticismo riguardo all'impegno dell'azienda in materia di sicurezza.

Vulnerabilità in corso

Il rapporto del CSRB e le successive indagini hanno evidenziato le vulnerabilità persistenti nei servizi cloud di Microsoft, che richiedono miglioramenti continui e vigilanza costante.

Implicazioni a livello settoriale

Il rapporto del CSRB ha implicazioni più ampie per il settore del cloud computing, richiedendo una rivalutazione delle pratiche di sicurezza di tutti i fornitori di servizi cloud, non solo di Microsoft. Il rapporto raccomanda che la Cybersecurity and Infrastructure Security Agency (CISA) guidi gli sforzi per definire e adottare standard minimi per la registrazione degli audit nei servizi cloud.

Ciò garantirebbe ai clienti l'accesso ai registri di sicurezza essenziali senza costi aggiuntivi, consentendo loro di individuare e rispondere agli incidenti di sicurezza in modo più efficace.

Questa raccomandazione sottolinea la necessità di trasparenza e responsabilità nel settore del cloud computing. Stabilendo pratiche di sicurezza standardizzate, i fornitori di servizi cloud possono aumentare la fiducia dei clienti e ridurre il rischio di violazioni.

Il rapporto sottolinea inoltre l'importanza della collaborazione tra agenzie governative e aziende private per sviluppare e applicare tali standard, garantendo un approccio unificato alla sicurezza informatica in tutto il settore.

Il percorso da seguire

Per Microsoft, il percorso da seguire non consiste solo nell'affrontare le preoccupazioni immediate in materia di sicurezza, ma anche nel promuovere una cultura della sicurezza che permei ogni aspetto delle sue attività. Ciò include:

  • Migliorare la cultura della sicurezza: Microsoft deve dare priorità alla sicurezza a tutti i livelli, dalla progettazione dei prodotti alle pratiche operative.
  • Implementazione delle migliori pratiche: l'azienda deve adottare standard di sicurezza di prim'ordine, quali l'autenticazione multifattoriale e modelli di accesso con privilegi minimi, in tutti i suoi servizi.

Maggiore trasparenza e responsabilità: collegando gli obiettivi di sicurezza alla retribuzione dei dirigenti, Microsoft mira a garantire responsabilità e trasparenza nelle sue iniziative di sicurezza.

La scelta migliore

È evidente che il panorama del cloud computing sta evolvendo rapidamente. In questo contesto, US Cloud emerge come un'alternativa di spicco rispetto agli altri fornitori. Personalizziamo le soluzioni per soddisfare le esigenze specifiche della vostra azienda, garantendo al contempo la conformità ai requisiti normativi più rigorosi.

Con prezzi trasparenti, nessuna commissione nascosta e team di assistenza dedicati disponibili 24 ore su 24, US Cloud ha un impegno incondizionato verso la soddisfazione dei clienti. Per le organizzazioni alla ricerca di un fornitore di servizi cloud che comprenda davvero le loro sfide specifiche e dia priorità alle loro esigenze di sicurezza, US Cloud rappresenta non solo un'alternativa, ma una scelta superiore nel mercato dei servizi cloud.

Mentre vi muovete nel complesso mondo del cloud computing e della sicurezza informatica, la partnership con US Cloud vi offre la tranquillità e le soluzioni personalizzate necessarie per prosperare nel panorama digitale odierno.

Mike Jones
Mike Jones
Mike Jones è una figura di spicco nel campo delle soluzioni aziendali Microsoft ed è stato riconosciuto da Gartner come uno dei massimi esperti mondiali in materia di accordi aziendali Microsoft (EA) e contratti di assistenza Unified (precedentemente Premier). La vasta esperienza di Mike nei settori privato, dei partner e governativo gli consente di identificare e soddisfare con competenza le esigenze specifiche degli ambienti Microsoft delle aziende Fortune 500. La sua conoscenza senza pari delle offerte Microsoft lo rende una risorsa inestimabile per qualsiasi organizzazione che desideri ottimizzare il proprio panorama tecnologico.

Post correlati

Vuoi saperne di più? I post riportati di seguito sono correlati al contenuto che hai appena letto.
GCC High Readiness per Microsoft Copilot: un manuale per un lancio sicuro

GCC High Readiness per Microsoft Copilot: un manuale per un lancio sicuro

Pubblicato il 16, 2025
Microsoft Copilot è disponibile per GCC High. Scopri come avviare il servizio in modo sicuro, preparare i tuoi dati e ottenere un supporto Microsoft conforme a costi inferiori.
Aggiornamento di Microsoft Teams per connettere utenti non Microsoft: come i team IT possono garantire la sicurezza della collaborazione

Aggiornamento di Microsoft Teams per connettere utenti non Microsoft: come i team IT possono garantire la sicurezza della collaborazione

Pubblicato il 25, 2025
A partire da novembre 2025, i membri di Microsoft Teams potranno chattare o chiamare chiunque disponga di un indirizzo e-mail. Ecco perché ciò aumenta la produttività e le preoccupazioni in materia di sicurezza.
Richiedi un preventivo a US Cloud per ottenere da Microsoft una riduzione dei prezzi del supporto Unified.

Non negoziare alla cieca con Microsoft

Nel 91% dei casi, le aziende che presentano a Microsoft un preventivo relativo al cloud statunitense ottengono sconti immediati e concessioni più rapide.

Anche se non cambi mai, una stima di US Cloud ti offre:

  • Prezzi di mercato reali per sfidare la posizione intransigente di Microsoft
  • Obiettivi di risparmio concreti: i nostri clienti risparmiano dal 30 al 50% rispetto a Unified.
  • Negoziare le munizioni: dimostrare di avere un'alternativa legittima
  • Informazioni senza rischi: nessun obbligo, nessuna pressione

 

"US Cloud è stata la leva di cui avevamo bisogno per ridurre la nostra fattura Microsoft di 1,2 milioni di dollari"
— Fortune 500, CIO