Microsoft haalt flink de bezem door zijn cloudomgeving om het gevaar van lekken, kwetsbaarheden, exploitaties en aanvallen te verminderen. Geen overbodige luxe, want Microsoft is de afgelopen tijd meerdere keren ongenadig te grazen genomen door hackers. Onder de vlag van het Secure Future Initiative zijn inmiddels 730.000 ongebruikte apps en 5,75 miljoen inactieve tenants verwijderd uit de cloudsystemen van het bedrijf.
Ook heeft het bedrijf 15.000 beveiligde devices in gebruik genomen voor zijn productieteams en voor bijna al het personeel (95 procent) identiteitsverificatie op basis van video ingesteld. Daarnaast is de security van Entra ID (identiteitsmanagement, het voormalige Azure Active Directory) opgeschroefd en de processen achter Microsoft Account voor het authentiseren van gebruikers. Dat zegt Charlie Bell, Executive Vice President Security van het bedrijf, in een update over de voortgang van het Secure Future Initiative (SFI).
Andere maatregelen die Microsoft heeft genomen zijn onder andere de ingebruikname van een lifecycle-management-systeem voor alle tenants van test- en experiment-omgevingen, met strikte standaardinstellingen en vervaltermijnen. De Azure Managed Hardware Security Module (HSM) genereert inmiddels automatisch access token signage keys en roteert deze geregeld.
Logging verbeterd
Ook op het gebied van logging zijn de nodige maatregelen genomen: Microsoft vereist nu het gebruik van standaard-libraries voor security-auditlogs in zijn productie-infrastructuur. Dit zorgt ervoor dat relevante telemetrie ten minste twee jaar wordt bewaard. Ook zijn bijna alle network-devices van het bedrijf nu uitgerust met software voor het centraal verzamelen en bewaren van securitylogs, met de bedoeling dat dit het opsporen van dreigingen vereenvoudigd.
Het SFI kent zes pijlers: de bescherming van identiteiten- en secrets , isolatie van productiesystemen, verbetering van netwerksecurity, bescherming van development-omgevingen, dreigingsdetectie en verbetering van incidentrespons (plus snellere remediatie als het toch misgaat). De verbeteringen zijn ingegeven door aanvallen van Russische en Chinese (staats)hackers op Microsoft-omgevingen die vorig jaar plaatsvonden.
Tip: Microsoft herhaalt lessen die het zelf bij Russische hack niet had geleerd
In november vorig jaar wisten de door Rusland gesteunde hackers van Midnight Blizzard toegang te krijgen tot de mailaccounts van belangrijke personen binnen Microsoft. Eerder dat jaar kreeg de Chinese hackersgroep Storm-0558 toegang tot Microsoft-systemen. Door het bemachtigen van een belangrijke Microsoft-key konden de aanvallers tot wel zes weken lang in de mailbox kijken van Amerikaanse en Europese beleidsmakers. De hack trof in de VS onder andere handelsminister Gina Raimondo en China-ambassadeur R. Nicholas Burns.
‘Opeenstapeling van fouten’
De oorzaak bij dit laatste geval betrof een zero-day kwetsbaarheid in GetAccessTokenForResourceAPI, wat leidde tot blootstelling van alle Azure Active Directory-applicaties (nu Entra ID). De gecompromitteerde gegevens bevonden zich op de webapplicatie van Microsoft Outlook (OWA). Volgens de Amerikaanse Cyber Safety Review Board (CSRB) betrof deze ronduit gênante hack een ‘opeenstapeling van fouten’ aan de kant van Microsoft.
Het bedrijf zou een ‘inadequate security-cultuur’ hebben, best practices negeren en veelal prestaties en uptime boven security stellen. Ook corrigeerde het bedrijf belangrijke fouten in gepubliceerde blogs niet of pas heel laat. Pas op aandringen van de CSRB corrigeerde Microsoft bijvoorbeeld de omschrijvingen van belangrijke details over de aanval.
Lees ook: ‘Opeenstapeling van fouten’ maakte Chinese infiltratie bij Microsoft mogelijk