اختراق مايكروسوفت: خمسة أسئلة يجب على المؤسسات طرحها على قادة تكنولوجيا المعلومات لديها

كشفت شركة البرمجيات العملاقة مايكروسوفت في منتصف يناير 2024 أن أنظمتها قد تم اختراقها بنجاح في نهاية عام 2023 من قبل مجموعة القرصنة المدعومة من روسيا Midnight Blizzard، كجزء من عملية منسقة وموجهة لجمع المعلومات.

وأكدت مايكروسوفت تفاصيل الهجوم في بيان نُشر على الإنترنت يوم الجمعة 19 يناير 2024، حيث كشفت أن الهجوم تم اكتشافه لأول مرة في 12 يناير 2024، وكان التنشيط الفوري لعمليات الاستجابة الداخلية يعني أنها تمكنت من إزالة المتسللين على الفور من أنظمتها.

“حتى الآن، لا يوجد دليل على أن جهة التهديد لديها أي إمكانية الوصول إلى بيئات العملاء، أو أنظمة الإنتاج، أو كود المصدر، أو الذكاء الاصطناعي. [artificial intelligence] وقالت مايكروسوفت في بيانها.

“سنقوم بإخطار العملاء إذا كان هناك أي إجراء مطلوب. يسلط هذا الهجوم الضوء على الخطر المستمر الذي تتعرض له جميع المنظمات من قبل جهات تهديد الدولة القومية ذات الموارد الجيدة مثل Midnight Blizzard.

وبينما أوضحت مايكروسوفت في بيانها أنه لم يتم تعريض أي بيانات أو خدمات للعملاء للخطر أثناء الهجوم، فقد نشرت مايكروسوفت تحذيرًا أوسع في مدونة استخبارات التهديدات الأمنية الخاصة بها في 25 يناير 2024 والتي ذكرت أن تحقيقاتها في الاختراق لا تزال مستمرة. وربما لا يزال من الممكن ظهور مزيد من التفاصيل حول تأثير الهجوم.

ونتيجة لذلك، إليك خمسة أسئلة يجب على مستخدمي الخدمات السحابية من Microsoft طرحها على مديري تكنولوجيا المعلومات والمديرين التنفيذيين للتكنولوجيا ومديري أمن المعلومات في أعقاب هذا الهجوم.

1. تقدم Microsoft نفسها على أنها منصة آمنة بشكل جوهري – فهل لا يزال هذا هو الحال؟

يعد هذا سؤالًا رئيسيًا لأن ملف تعريف المخاطر الخاص بالشركة يجب أن يخضع لعملية إعادة تقييم مستمرة ومستمرة في أي حال، ويجب أن تكون موجة اختراقات Microsoft الأخيرة على رادار المخاطر الخاص بها.

ليس من الواضح كيف (أو حتى إذا) ستتمكن Microsoft من ضمان أن تكون البيئة السحابية بأكملها الآن نظيفة وخالية من المتسللين بنسبة 100٪، وقد أبلغوا عن تعرضهم للهجوم بنجاح عدة مرات من قبل مجموعات القرصنة المدعومة من الصين وروسيا.

2. هل نعتمد على نفس الضوابط الأمنية التي تعتمدها مايكروسوفت؟

كشفت Microsoft أن قراصنة Midnight Blizzard كانوا داخل أنظمتها لمدة تصل إلى 42 يومًا قبل العثور عليهم – وهذا على الرغم من امتلاكهم موارد أمنية عالمية لا مثيل لها وتقنيات أمنية مساعدة مدعومة بالذكاء الاصطناعي لمراقبتها.

يشير بيان مايكروسوفت التفصيلي حول الاختراق إلى أن الشركة لم تعثر على الاختراق إلا من خلال فحص سجلات Exchange، وليس عبر أدوات الأمان من الجيل التالي.

لقد تم طرح هذه الأدوات بقوة، وتم اعتمادها بوتيرة سريعة من قبل معظم عملاء Microsoft على مدار الأشهر الستة الماضية، ولكن في هذا الاختبار الواقعي لتقنية الأمان الخاصة بالشركة، من العدل القول إنها ربما فشلت.

تحتاج الشركات إلى فهم مدى اعتمادها على قدرات Microsoft الأمنية في حالة احتياجها إلى تعزيز دفاعاتها.

3. ما مدى ثقة الشركة بأنها لم تتعرض أيضًا لهذا الهجوم؟

وقالت مايكروسوفت إنه لا يوجد دليل على وجود اختراق لأي عميل، ولكن عندما يكون لدى متسلل دولة قومية ستة أسابيع للتجول بحرية عبر البنية التحتية لتكنولوجيا المعلومات، فمن غير المرجح أن يكون لديه حدود لنفسه.

في مايكروسوفت مدونة استخبارات التهديدات الأمنيةنصحت الشركة “الحكومات والهيئات الدبلوماسية والمنظمات غير الحكومية ومقدمي خدمات تكنولوجيا المعلومات، في المقام الأول في الولايات المتحدة وأوروبا” بأن يكونوا على دراية بالهجمات وكيفية تحديد ما إذا كانوا قد تعرضوا لاختراق مماثل.

قد يشير هذا إلى أن مايكروسوفت تعتقد أن الهجمات امتدت إلى ما هو أبعد من بيئة الشركة الخاصة بها.

4. إذا اضطررنا إلى قطع الاتصال بشركة Microsoft، فماذا يعني ذلك بالنسبة لعملياتنا التجارية؟

تعتبر منصات Microsoft السحابية، Azure وMicrosoft 365، عالمية وليست مجزأة إقليمياً. على هذا النحو، ليس لديهم بالضرورة “حواجز الحريق” أو الأبواب المانعة لتسرب الماء لفصل تأثيرات المهاجم.

عندما تتصل المؤسسات بسحابة Microsoft، فإنها غالبًا ما تفعل ذلك من خلال نهج نظير الشبكة، مما يؤدي إلى توسيع عناوين الشبكة وخدمات الدليل في السحابة كامتداد لشبكة الشركة الخاصة بها.

وهذا يعني أن حتى التعليق المؤقت للخدمات السحابية من Microsoft قد يكون له تأثير خطير على العمليات التجارية. يعد فهم مدى التزام الشركة بالاتصال المستمر بشركة Microsoft جزءًا مهمًا من إدارة إجمالي المخاطر والتعرضات للشركة.

5. بالنظر إلى ما سبق، ما هو المستوى الفعلي لتعرضنا؟

يعتمد هذا كثيرًا على الغرض الذي تستخدمه الشركة لسحابة Microsoft، بالإضافة إلى مدى أهمية هذا الاستخدام وطبيعة المنظمة المعنية.

تكافح العديد من الشركات لفهم مدى أهمية المعلومات الداخلية الأساسية، مثل هويات المستخدمين، بالنسبة للشركة، وتحتاج أيضًا إلى مراعاة حقوق الملكية الفكرية (IPR) وأي بيانات قد تكون المنظمة مسؤولة عنها بشكل منظم.

أخيرًا، انتبه إلى أن أي مشكلة أمنية تتعلق بشركة Microsoft هي بمثابة أخبار عالمية بشكل افتراضي، لذا يجب أن يؤخذ ذلك في الاعتبار في تقييمات المخاطر المتعلقة بسمعة أي مستخدم أيضًا.