4min Security

Amazon stelt introductie van Microsoft 365 uit na hacks  

Amazon stelt introductie van Microsoft 365 uit na hacks  

Amazon heeft de interne uitrol van Microsoft 365 met een jaar uitgesteld. Het bedrijf maakt zich zorgen over de beveiliging van de e-mail- en productiviteitssoftware.

Dit meldt persbureau Bloomberg. De techgiganten sloten vorig jaar een overeenkomst om Amazon-medewerkers Microsoft 365 te bieden. Amazon gebruikt al lange tijd versies van Office die op zijn eigen servers zijn geïnstalleerd.  

Maar Amazon pauzeert de uitrol nadat Microsoft ontdekte dat een aan Rusland gelinkte hackergroep toegang had gekregen tot enkele e-mailaccounts van zijn medewerkers. Na een eigen analyse van de software vroeg Amazon om wijzigingen om ongeautoriseerde toegang te voorkomen. En om een gedetailleerdere registratie van gebruikersactiviteiten in de apps te creëren.  

Opvallende samenwerking

Het is een ongebruikelijke samenloop van gebeurtenissen: een enorme commerciële deal tussen twee rivalen in cloudcomputing in de regio Seattle, een door de staat gesponsorde hack, en een technische samenwerking die de beveiliging van de meest gebruikte kantoorproductiviteitssoftware ter wereld zou kunnen verbeteren.  

“We hebben diepgaand onderzoek gedaan naar Office 365 en alle controles daaromheen. En we hebben Microsoft – net zoals we dat zouden doen met onze eigen serviceteams binnen Amazon – aan dezelfde hoge eisen gehouden,” zei CJ Moses, de chief information security officer van Amazon. Het team van Moses overhandigde Microsofts beveiligingschef Charlie Bell – een voormalig Amazon-ingenieur – een lijst met gevraagde verbeteringen, en ingenieurs van beide bedrijven hebben maanden gewerkt aan deze aanpassingen.  

“We denken dat we in een goede positie zijn om volgend jaar opnieuw met de implementatie te beginnen.” Dat zei Moses vorige week in een interview tijdens de re:Invent-conferentie van Amazon Web Services. Microsoft weigerde commentaar te geven.  

Forse deal voor Microsoft

Volgens een rapport van Business Insider vorig jaar heeft Amazon $1 miljard toegezegd over een periode van vijf jaar voor de aanschaf van Microsoft 365-software. De ongeveer 1,5 miljoen medewerkers moeten er gebruik van maken. De deal maakte Amazon een van de grootste afnemers van Microsofts belangrijkste cloud-productiviteitspakket.  

In de herfst van vorig jaar viel een hackergroep enkele bedrijfsystemen van Microsoft aan. De groep gaat door het leven als Midnight Blizzard. Microsoft maakte in januari bekend dat de groep uiteindelijk toegang had gekregen tot een “klein aantal” e-mailaccounts van medewerkers. Hieronder waren senior managers en cybersecurity- en juridische werknemers. Het was een van een reeks beveiligingsincidenten die CEO Satya Nadella ertoe bracht beveiliging tot Microsofts topprioriteit te verklaren.  

Begin dit jaar adviseerde Moses aan Amazons beveiligingschef Steve Schmidt en CEO Andy Jassy om de uitrol op te schorten. Dit opdat Microsoft de schade kon beoordelen. En Amazon verder onderzoek kon doen. “Op dat moment kon Microsoft ons nog steeds niet vertellen of ze de [hackers] uit hun systeem hadden verwijderd,” zei Moses.  

Authenticatie protocolllen

De verzoeken van Amazon omvatten aanpassingen van tools om te verifiëren dat gebruikers die toegang hebben tot de apps correct zijn geautoriseerd. En dat hun acties, zodra ze binnen zijn, op een manier worden gevolgd die Amazons geautomatiseerde systemen kunnen monitoren op mogelijke veiligheidsrisico’s, aldus Moses.

Het pakket van Microsoft was samengesteld uit voorheen afzonderlijke producten. Het bevatte verschillende protocollen voor het authenticeren en volgen van gebruikers. Sommige protocollen voldeden niet aan de normen van Amazon. “We wilden ervoor zorgen dat alles werd gelogd. En dat we toegang hadden tot die logs in bijna real-time,” zei Moses. “Dat was een deel van de reden voor de vertraging.”  

Bell, die Moses superviseerde bij AWS voordat hij in 2021 naar Microsoft vertrok, gaf aan dat Microsoft de verbeteringen ook beschikbaar zou stellen aan andere klanten, zei Moses. Hij prees de inspanningen van zijn voormalige baas. “Ze hebben geweldig werk geleverd,” zei Moses. “We hebben hen enkele behoorlijk zware taken gegeven.”