Suporte de segurança da Microsoft
Suporte da Microsoft para o governo
Relatório do governo dos EUA recomenda revisão da segurança da nuvem da Microsoft.
CSRB critica a Microsoft e apela à reforma da segurança na nuvem
Um relatório recente do governo dos EUA revelou preocupações significativas em relação à segurança na nuvem da Microsoft, após uma grande violação por hackers chineses apoiados pelo Estado.
O relatório, publicado pelo Conselho de Revisão de Segurança Cibernética dos EUA (CSRB), destaca uma série de falhas operacionais e decisões estratégicas da Microsoft que permitiram que esses hackers se infiltrassem nas contas de e-mail de altos funcionários dos EUA. O relatório não só criticou a Microsoft, mas também pediu reformas mais amplas em todo o panorama da segurança na nuvem.
A violação e as suas implicações
Os executivos estão preocupados com a violação da segurança cibernética.
A violação de segurança, relatada pela primeira vez em julho de 2023, envolveu um grupo de hackers conhecido como Storm-0588, que se acredita ter ligações com o governo chinês. Esse grupo conseguiu comprometer a conta corporativa de um engenheiro da Microsoft, o que lhes permitiu acessar sistemas confidenciais do governo dos Estados Unidos.
O relatório descreve este incidente como «evitável» e aponta para uma série de erros nos protocolos de segurança da Microsoft.
Os hackers acederam a e-mails de 22 organizações e mais de 500 indivíduos, incluindo figuras de destaque, como o embaixador dos EUA na China. Além disso, cerca de 60.000 e-mails foram descarregados do Departamento de Estado dos EUA.
Esta violação ressalta o papel fundamental que a Microsoft desempenha no ecossistema tecnológico global e o nível de confiança que os clientes depositam na empresa para proteger os seus dados e operações.
Conclusões do Conselho de Revisão de Segurança Cibernética dos EUA
O relatório da CSRB foi inequívoco nas suas críticas às práticas de segurança na nuvem da Microsoft. Destacou várias áreas em que a Microsoft ficou aquém:
- Controlos de segurança de identidade inadequados: O relatório observou que a Microsoft carecia dos controlos de segurança de identidade que são padrão entre outros fornecedores de serviços em nuvem.
- Práticas criptográficas desatualizadas: os hackers exploraram uma chave criptográfica de 2016 para obter acesso não autorizado, apontando para práticas desatualizadas de rotação de chaves.
- Falha nos controlos organizacionais e na governança: O relatório criticou a falha da Microsoft em priorizar a segurança, sugerindo a necessidade de uma mudança cultural dentro da organização.
O CSRB recomendou que a liderança da Microsoft desenvolvesse e implementasse um plano para realizar reformas fundamentais com foco na segurança em todos os seus produtos e serviços.
Também sugeriu que os fornecedores de serviços em nuvem deveriam deixar de cobrar aos clientes pelos registos de segurança, que são essenciais para detetar e prevenir intrusões.
Principais conclusões do relatório do CSRB
| Descoberta | Descrição |
|---|---|
| Segurança de identidade fraca | A Microsoft carecia de controlos comuns de segurança de identidade. |
| Criptografia desatualizada | Os hackers utilizaram uma chave criptográfica antiga, de 2016. |
| Governança de segurança deficiente | A Microsoft precisa de se concentrar mais na segurança. |
Resposta e iniciativas da Microsoft
Em resposta às conclusões do CSRB, a Microsoft lançou a «Secure Future Initiative» (Iniciativa Futuro Seguro), com o objetivo de resolver as suas falhas de segurança. A empresa comprometeu-se a implementar as recomendações do conselho e já disponibilizou alguns registos de segurança como parte do seu pacote padrão de serviços na nuvem.
O vice-presidente e presidente da Microsoft, Brad Smith, prestou depoimento perante a Comissão de Segurança Interna da Câmara dos Representantes, enfatizando o compromisso da empresa em melhorar a sua postura em matéria de cibersegurança.
Relatório do governo dos EUA recomenda reformulação da segurança da nuvem da Microsoft.
A Microsoft comprometeu-se a implementar todas as 16 recomendações do CSRB que se aplicam à empresa, incluindo ações específicas para proteger identidades e segredos, reforçar a segurança da rede e melhorar as capacidades de deteção e resposta a ameaças. A iniciativa enfatiza três princípios fundamentais de segurança: segurança desde a conceção, segurança por predefinição e operações seguras.
Esses princípios orientam o desenvolvimento e a implementação dos produtos e serviços da Microsoft, garantindo que a segurança seja incorporada desde o início e continuamente aprimorada para enfrentar as ameaças em constante evolução.
Resposta da Microsoft às recomendações do CSRB
| Iniciativa | Detalhes |
|---|---|
| Plano para um futuro seguro | Tem como objetivo corrigir problemas de segurança, incluindo melhores registos e proteção de identidade. |
| 16 ações-chave | Aumentar a segurança da rede e melhorar a deteção de ameaças. |
| Princípios básicos de segurança | «Segurança desde a concepção», «segurança por predefinição» e «operações seguras». |
Equilibrando segurança cibernética e lucro.
Além destas medidas técnicas, a Microsoft também está a concentrar-se em mudanças culturais e organizacionais para reforçar a sua abordagem de segurança em primeiro lugar. Isso inclui vincular as metas de segurança à remuneração da liderança, o que garante a responsabilização e alinha os objetivos da empresa com os seus compromissos de segurança.
A Microsoft também convidou a Agência de Segurança Cibernética e Infraestrutura (CISA) para uma reunião técnica detalhada na sua sede sobre a implementação das recomendações do CSRB, demonstrando transparência e disposição para colaborar com agências governamentais para melhorar as medidas de segurança.
Desafios e críticas
Apesar dos esforços da Microsoft, a empresa enfrenta desafios significativos para restaurar a confiança e garantir uma segurança robusta:
Lucro versus segurança
Uma investigação da ProPublica revelou que a Microsoft havia anteriormente priorizado o lucro em detrimento da segurança, supostamente ignorando avisos sobre falhas críticas para garantir contratos governamentais. Isso levou ao ceticismo sobre o compromisso da empresa com a segurança.
Vulnerabilidades contínuas
O relatório do CSRB e as investigações subsequentes destacaram vulnerabilidades contínuas nos serviços em nuvem da Microsoft, exigindo melhorias e vigilância contínuas.
Implicações para todo o setor
O relatório do CSRB tem implicações mais amplas para o setor de computação em nuvem, exigindo uma reavaliação das práticas de segurança em todos os provedores de serviços em nuvem, não apenas na Microsoft. O relatório recomenda que a Agência de Segurança Cibernética e Infraestrutura (CISA) lidere os esforços para definir e adotar padrões mínimos para o registro de auditorias em serviços em nuvem.
Isso garantiria que os clientes tivessem acesso a registos de segurança essenciais sem incorrer em custos adicionais, permitindo-lhes detetar e responder a incidentes de segurança de forma mais eficaz.
Esta recomendação sublinha a necessidade de transparência e responsabilidade na indústria da computação em nuvem. Ao estabelecer práticas de segurança padronizadas, os fornecedores de serviços em nuvem podem aumentar a confiança dos clientes e reduzir o risco de violações.
O relatório também destaca a importância da colaboração entre órgãos governamentais e empresas privadas para desenvolver e aplicar essas normas, garantindo uma abordagem unificada à segurança cibernética em todo o setor.
O caminho a seguir
Para a Microsoft, o caminho a seguir envolve não só abordar as preocupações imediatas de segurança, mas também promover uma cultura de segurança que permeie todos os aspetos das suas operações. Isso inclui:
- Reforçar a cultura de segurança: a Microsoft precisa priorizar a segurança em todos os níveis, desde o design do produto até as práticas operacionais.
- Implementação das melhores práticas: A empresa deve adotar os melhores padrões de segurança da categoria, como autenticação multifatorial e modelos de acesso com privilégios mínimos, em todos os seus serviços.
Aumentar a transparência e a responsabilização: Ao vincular as metas de segurança à remuneração da liderança, a Microsoft pretende garantir a responsabilização e a transparência nas suas iniciativas de segurança.
A escolha preferida
É evidente que o panorama da computação em nuvem está a evoluir rapidamente. Neste contexto, a US Cloud surge como uma alternativa destacada em relação a outros fornecedores. Adaptamos as soluções para atender às necessidades específicas da sua empresa, garantindo a conformidade com os requisitos regulamentares mais rigorosos.
Com preços transparentes, eliminação de taxas ocultas e equipas de suporte dedicadas 24 horas por dia, a US Cloud tem um compromisso inabalável com a satisfação do cliente. Para organizações que procuram um fornecedor de nuvem que realmente compreenda os seus desafios únicos e priorize as suas necessidades de segurança, a US Cloud representa não apenas uma alternativa, mas uma escolha superior no mercado de serviços em nuvem.
Ao navegar pelo complexo mundo da computação em nuvem e da cibersegurança, a parceria com a US Cloud oferece a tranquilidade e as soluções personalizadas necessárias para prosperar no cenário digital atual.
