Beveiliging van Microsoft onder de loep genomen na Chinese cyberaanval.

De recente Chinese cyberinbraak heeft een belangrijke discussie op gang gebracht over de verantwoordelijkheid van cloudserviceproviders om de veiligheid van hun klanten te waarborgen. De hoogwaardige cloudservice van Microsoft, die ogenschijnlijk betere beveiliging biedt, is daarbij een belangrijk aandachtspunt geworden. Functionarissen van de regering-Biden en senator Ron Wyden hebben kritiek geuit op het bedrijf omdat het cruciale logboekinformatie niet voor alle gebruikers beschikbaar stelt.

Loggingsoftware speelt een cruciale rol bij het opsporen en onderzoeken van cyberaanvallen, door alle serveractiviteiten bij te houden. Dit incident bracht echter aan het licht dat de cruciale loggegevens die nodig waren om de aanval te identificeren, uitsluitend beschikbaar waren voor klanten van de premium clouddienst van Microsoft, aldus functionarissen van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse Ministerie van Binnenlandse Veiligheid, die samenwerken met het incidentresponsteam van Microsoft DART.

De bekendgemaakte hack trof bijna twee dozijn organisaties over de hele wereld, waaronder het ministerie van Buitenlandse Zaken en het ministerie van Handel. De aanval was niet zomaar een gemiddelde inbreuk; hij was technisch buitengewoon geavanceerd, richtte zich op specifieke slachtoffers en benadrukte het belang van cyberbeveiliging in ons digitale tijdperk.

Het ministerie van Buitenlandse Zaken ontdekte de inbreuk als eerste en meldde deze vorige maand aan Microsoft. De tool die werd gebruikt om de inbreuk te ontdekken, is echter niet in alle Microsoft 365-pakketten opgenomen. Deze tool maakt deel uit van het hoogste Microsoft 365-licentiepakket van Microsoft, bekend als E5, dat ongeveer 60% duurder is dan het E3-pakket en een breder scala aan functies biedt. Voor overheidsinstanties worden deze pakketten respectievelijk aangeduid als G5 en G3.

In de nasleep van het hackincident hebben functionarissen van de regering-Biden woensdag verklaard dat Microsoft dergelijke essentiële informatie algemeen toegankelijk moet maken. Een hoge functionaris van het Cybersecurity and Infrastructure Security Agency (CISA) benadrukte tijdens een persconferentie over het incident dat "elke organisatie die gebruikmaakt van een technologische dienst zoals Microsoft 365, direct toegang moet hebben tot loggegevens en andere beveiligingsgegevens om kwaadwillige cyberactiviteiten op redelijke wijze te kunnen detecteren".

Elke organisatie die gebruikmaakt van een technologische dienst zoals Microsoft 365 moet standaard toegang hebben tot logboekgegevens en andere beveiligingsgegevens om kwaadwillige cyberactiviteiten op redelijke wijze te kunnen detecteren.

-Hooggeplaatste CISA-functionaris

Tegelijkertijd loopt er een onderzoek om vast te stellen of Microsoft zich heeft gehouden aan de federale cyberbeveiligingsvoorschriften voor cloudproviders. Senator Ron Wyden, een actief lid van de Senaatscommissie voor Inlichtingen op het gebied van cyberbeveiliging en technologiebeleid, had kritiek op de praktijk om extra kosten in rekening te brengen voor essentiële beveiligingsfuncties. Hij vergeleek dit met het verkopen van een auto en vervolgens extra kosten in rekening brengen voor veiligheidsgordels en airbags.

Als reactie op de toenemende druk kondigde Microsoft aan dat het mogelijke oplossingen aan het onderzoeken was. Een woordvoerder van Microsoft verklaarde donderdag: "We evalueren de feedback en staan open voor andere modellen. We werken hier actief aan samen met CISA en andere instanties."

De ontdekking van deze grootschalige hackcampagne was te danken aan de beveiligingsspecialisten van het Amerikaanse ministerie van Buitenlandse Zaken, die met behulp van logboektools in juni ongebruikelijke activiteiten op hun netwerk opmerkten. Nadat Microsoft op de hoogte was gebracht van de situatie, slaagde het erin om slachtoffers te identificeren, zelfs degenen die geen abonnement op de premiumdienst hadden.

De kern van de zaak ligt in de logbestanden, digitale records die activiteiten op de cloud van Microsoft bijhouden. Deze logbestanden bevatten waardevolle informatie, zoals de browser en het besturingssysteem die zijn gebruikt om toegang te krijgen tot het systeem, wat cruciaal is voor het opsporen van criminele activiteiten na een hack.

De complexiteit ontstaat met de komst van cloud computing, waarbij de verantwoordelijkheden worden verdeeld tussen cloudoperators zoals Microsoft en hun klanten. Providers stellen dat het bewaren van grote hoeveelheden van dergelijke gegevens kostbaar kan zijn, terwijl klanten zich vaak niet bewust zijn van de noodzaak van deze logbestanden totdat er een hack plaatsvindt, op welk moment het wellicht te laat is om ze terug te halen.

Volexity, een cyberbeveiligingsbedrijf, bracht een specifiek geval aan het licht waarbij de beperkte logbestanden van de goedkopere Microsoft 365 E3-licentie van een klant geen bewijs van de aanval konden onthullen. Deze kwestie onderstreept het belang van uitgebreide logboekmogelijkheden en roept vragen op over de vraag of premium beveiligingsfuncties voor alle gebruikers toegankelijk moeten zijn.

Nu cloud computing steeds gangbaarder wordt, is het de verantwoordelijkheid van zowel cloudserviceproviders als klanten om ervoor te zorgen dat er adequate maatregelen zijn getroffen om cyberaanvallen op te sporen en te beperken. Dit incident herinnert ons op pijnlijke wijze aan de hiaten die kunnen bestaan in de cyberbeveiligingsinfrastructuur en aan het belang van een alomvattende aanpak van digitale veiligheid.