Szerző: Dömös Zsuzsanna

2024. május 13. 10:39

Felkérdezik a Microsoft elnökét a biztonsági incidensek miatt

A képviselőház bizottsága meghallgatást tűzött ki a Microsoftot ért közelmúltbeli kibertámadásokkal kapcsolatban, ahol Brad Smith elnöknek kell vallania a redmondiak biztonsági gyakorlatairól és mulasztásairól.

Az amerikai képviselőház belbiztonsági bizottsága beidézte Brad Smith-t, a Microsoft elnökét és jogi igazgatóját, hogy feltehesse kérdéseit a redmondi szoftvercég közelmúltbeli biztonsági incidenseivel kapcsolatban, melyek során amerikai kormányzati szereplők érzékeny levelei kerülhettek illetéktelenek kezébe. A szoftveróriás kiberbiztonsági hiányosságainak és belbiztonságra gyakorolt ​​hatásainak értékelését célzó meghallgatás dátumát május 22-re tűzték ki.

A redmondiak tavaly novemberben jelentették be a Secure Future Initiative (SFI) kezdeményezést, miután kínai állami kiberbűnözők amerikai kormányzati szereplők e-mail fiókjaihoz szereztek hozzáférést a Microsoft felhőszolgáltatásának hibáját kihasználva. Néhány nappal a kezdeményezés bejelentése után pedig orosz hackereknek sikerült áttörniük a védelmet, és hozzáférni a Microsoft felsővezetői csapatának e-mail fiókjaihoz. A támadást közel két hónappal később, januárban sikerült felfedni, ugyanez a csoport még forráskódot is lopott.

Az Egyesült Államok Kiberbiztonsági Felülvizsgáló Testülete (Cyber Safety Review Board, CSRB) márciusban közzétett jelentésében úgy találta a jogsértések után, hogy a Microsoft biztonsági kultúrája inadekvát és finomításra szorul, a cég egy sor új előírással és alapelvvel állt elő. A CSRB szerint a vállalat megakadályozhatta volna a kormányzati fiókokat érintő tavalyi támadást, és a nem kellően erős intézkedések miatt a Microsoft felelőssége is a támadás sikeressége, amihez „biztonsági hibák sorozata” vezetett.

ms_brad

Promptolsz-e már padawan?

Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

A belbiztonsági bizottság szerint a támadások nem csak aláássák a bizalmat az operációs rendszert, felhőplatformot és produktivitási eszközöket fejlesztő cég védelmi intézkedéseiben, de egyben kérdéseket vet fel az elszámoltathatóság és a felügyelet hiányábal kapcsolatban.

Charlie Bell, a Microsoft biztonságért felelős ügyvezető alelnöke blogbejegyzésében május elején részletezte, hogy a CSRB ajánlásai alapján kibővítik a kezdeményezést, az intézkedések érintik a felsővezetői csapat juttatási csomagjait is. A Microsoft mérnöki vezetői heti és havi operatív értekezleteket vezette be, egyes termékcsoportok információbiztonsági igazgató-helyetteseket (CISO-helyetteseket) kapnak. A fenyegetések felderítésével foglalkozó csapatot áthelyezték, hogy közvetlenül a CISO-nak tegyen jelentést, így a mérnöki csapatok biztonságáért felelősségre vonhatók.

A cég három biztonsági alapelvet alkalmaz a jövőben, melyek már a termékek és szolgáltatások tervezési szakaszában előtérbe helyezik a biztonságot, emellett fókuszt kap az alapértelmezés szerint engedélyezett védelem, illetve a hatékonyság növelése a jelenlegi és jövőbeli fenyegetések monitorozásakor. A hosszútávú célok a Microsoft által megfogalmazott hat biztonsági pilléren alapulnak, a munkákat hullámokban végzik a mérnöki csapatok az Azure Cloud, a Windows, a Microsoft 365 és a Security csapatokon belül, hetente pedig további termékcsapatok integrálódnak a folyamatba.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról