في كانون الثاني (يناير) من هذا العام، دفعني اعتراف شركة Microsoft بحدوث هجوم ناجح من قبل مجموعة القرصنة المدعومة من روسيا Midnight Blizzard، (المعروف أيضًا باسم APT29 أو Cozy Bear) لإنشاء قائمة من خمسة أسئلة لطرحها على العملاء المحتملين في مجال تكنولوجيا المعلومات والأمان.
هذه المقالة ليست بديلاً عن قراءة التقرير، وأوصي أي شخص مهتم بملف تعريف الأمان والمخاطر الخاص بـ Global Hyperscale Cloud من Microsoft بتنزيله والنظر في كل من تحليل الأدلة التفصيلي ونتائج CSRB – إنها قراءة واقعية تمامًا.
بالنسبة لأولئك الذين ليس لديهم الوقت لقراءة التقرير بأنفسهم حاليًا، أريد تلخيص النقاط الرئيسية للتقرير واقتراح الإجراءات الواضحة التي يجب اتخاذها والأسئلة التي يجب طرحها – سواء على المستوى التنظيمي أو داخل حكومة المملكة المتحدة بالفعل بحد ذاتها.
ومن الجدير بالذكر أنه على الرغم من أن القيادة الأمريكية اتخذت إجراءات مباشرة لتقييم الحوادث الأمنية المتعددة التي أثرت على مايكروسوفت خلال العام الماضي والتصرف بشأنها، إلا أن حكومة المملكة المتحدة على النقيض من ذلك (علنًا على الأقل) كانت متحفظة وملتزمة الصمت نسبيًا.
قد يعكس هذا حقيقة أن المملكة المتحدة لا يمكنها ممارسة تأثير يذكر على منصة Microsoft التي يقع مقرها في الولايات المتحدة، ولكنه قد يعكس أيضًا أن عمليات الأمن وتكنولوجيا المعلومات في المملكة المتحدة – ربما أكثر من أي دولة أخرى في العالم – تعتمد بشكل كبير على عند التشغيل الآمن لخدمات Microsoft Public Cloud Services.
وفي الواقع، تعمل المملكة المتحدة على تسريع اعتمادها لهذه التقنيات، حتى في حين تعرب الولايات المتحدة والحكومات الأخرى عن قلقها المتزايد بشأن مدى ملاءمة منصة مايكروسوفت للقطاع العام أو استخدام البنية التحتية الوطنية الحيوية.
ربما اختارت الحكومة البريطانية ببساطة إبقاء مسحوقها جافًا حتى يتم العثور على دليل واضح على وجود مشكلات أمنية ونشره. إذا كان الأمر كذلك، فإن تقرير CSRB يجب أن يغير هذا الموقف.
تقرير CRSB – أبرز النقاط
التقرير مضغوط نسبيًا في 34 صفحة، وفي حين أنه يشير إلى عمليات اختراق أخرى تم الإبلاغ عنها من قبل Microsoft، بما في ذلك هجوم Midnight Blizzard في يناير 2024، إلا أنه يحافظ بشدة على موجزه عن حدث القرصنة Storm-0558 في مايو/يونيو.
ويكشف التقرير بشكل شرعي عن الإخفاقات التي أدت إلى الهجوم ويقدم 25 توصية:
- أربعة منها تركز بشكل مباشر على حالات الفشل الحاسمة للشركات التي تم تحديدها من خلال ممارسات Microsoft وثقافة الأمان؛
- يوصي خمسة بإجراء تحسينات على نماذج Microsoft Identity والتحكم في الوصول لتتماشى مع الممارسات القوية المحددة في Google وAWS وOracle؛
- أحدهما يضع الحد الأدنى من معايير التسجيل والتدقيق التي يعتقد CSRB أنه ينبغي تطبيقها على جميع مقدمي خدمات الاتصالات؛
- يوصي ثلاثة منهم باستخدام معايير الهوية المفتوحة، المرتبطة بتحديد CSRB بأن تقنيات Microsoft Identity الخاصة ساهمت في الهجوم؛
- سبعة منهم يقدمون التزامًا بالشفافية بالنسبة لمقدمي خدمات السحابة إلى حكومة الولايات المتحدة ولتحسين إخطارات الضحايا – وهو ما قد يلزم تنفيذه بعناية إذا أردنا ألا يقعوا في مخالفة للمخاوف الحالية للهيئات التشريعية العالمية الأخرى بشأن قدرة حكومة الولايات المتحدة على رؤية خدمات مقدمي الخدمات السحابية في الولايات المتحدة. ; و
- يقترح خمسة تغييرات محتملة على معايير NIST للهوية السحابية، وتجديد نموذج FedRAMP الأمريكي – والذي من شأنه أن يؤدي بشكل أساسي إلى تحسين الوضع الأمني لمستخدمي السحابة الحكومية الأمريكية بدلاً من توفير فائدة عالمية عامة.
في مقالتي الأخيرة عن “الأسئلة الخمسة” افتتحت بسؤال حول الوضع الأمني لشركة Microsoft:
تقدم Microsoft نفسها على أنها منصة آمنة بشكل جوهري – فهل لا يزال هذا هو الحال؟
لقد أعطى مجلس CSRB إجابته على هذا السؤال، موضحًا أن الوضع الأمني لشركة Microsoft وثقافتها أقل بكثير من المعيار السائد لمقدمي الخدمات السحابية؛ إلى الحد الذي حثه فيه مجلس CSRB على تعليق إنشاء ميزات جديدة متزايدة التعقيد حتى يتم التأكد من إمكانية تقديمها بشكل آمن.
بالإضافة إلى ذلك، أكد CSRB أن الوسائل التي تم من خلالها إكمال هجوم Storm-0558 لا تزال غير معروفة، لكنه حدد اعتماد Microsoft على منتجات الهوية القديمة التي يبلغ عمرها 20 عامًا، وعمليات إدارة المفاتيح اليدوية الضعيفة، وضعف التسجيل والتدقيق كنقاط ضعف رئيسية. استغلها هؤلاء وغيرهم من المهاجمين.
لقد افترضت سابقًا أن Microsoft قد لا تتمكن أبدًا من إثبات أن نظامها الأساسي آمن بنسبة 100% بعد اختراق Midnight Blizzard، وقد وضع مجلس CSRB هذا التحدي على مكتب المجلس التنفيذي لشركة Microsoft – لإثبات جديته فيما يتعلق بالأمن وأنه قادر على ذلك مرة واحدة. مرة أخرى يمكن اعتبارها منصة جديرة بالثقة.
خمسة أسئلة لطرحها
بالنسبة للمؤسسات التي تستخدم Microsoft، الأسئلة الخمسة المحدثة التي قد نطرحها الآن هي:
هل أدت المنتجات الجديدة التي تقدمها Microsoft إلى تحسين أمانك أو إضعافه؟
بدأت Microsoft في الطرح العالمي/التوفر العام للأدوات المستندة إلى Copilot LLM/AI لجميع العملاء – إما مقابل دفع إضافي أو مجمعة مع تراخيص المؤسسة.
ومع ذلك، فإن استيعاب مساعد الطيار لم يحظ بترحيب عالمي الكونجرس الأمريكي يمنع مساعد الطيار من أجهزتها بسبب المخاوف المتعلقة بالتحكم في البيانات التي تستوعبها وتقوم بالإبلاغ عنها.
في ضوء تقرير CSRB وتوصياته بأنه يتعين على Microsoft العودة إلى نموذج بيل جيتس لعام 2002 المتمثل في “الأمن والخصوصية على الوظائف الجديدة”، كيف نعرف أن هذه الخدمات توفر الفوائد التي اقترحتها Microsoft؟
أكدت Microsoft أن قراصنة Midnight Blizzard كانوا داخل أنظمتها لمدة تصل إلى 42 يومًا قبل العثور عليهم – على الرغم من تقنيات Security Copilot التي تدعم الذكاء الاصطناعي والتي تراقب البيئات.
لقد تم طرح أدوات أمان الذكاء الاصطناعي من الجيل التالي بقوة، وتم اعتمادها بوتيرة سريعة من قبل معظم عملاء Microsoft على مدار الأشهر الستة الماضية، ولكن هل مجلس CSRB على حق في الإشارة إلى أن الأمان الأساسي وقيمة الأمان قد لا تستحق المخاطرة باعتمادها ؟
هل نقوم بالفعل بتحسين أمننا من خلال استخدامها، أم أننا نحصل فقط على شعور زائف بالراحة، وهل يمكن للمهاجمين استخدام المعلومات الموجودة فيها كسلاح لتحديد نقاط الضعف أو شن هجمات جديدة؟
هل من المحتمل أن نكون هدفًا للهجمات المستقبلية من خلال خدمات Microsoft؟
زعمت مايكروسوفت سابقًا أن الاختراقات على بنيتها التحتية كان لها آثار محدودة للغاية على العملاء، بينما نصحت في الوقت نفسه في شهر يناير “الحكومات والهيئات الدبلوماسية والمنظمات غير الحكومية ومقدمي خدمات تكنولوجيا المعلومات، وخاصة في الولايات المتحدة وأوروبا” بأن يكونوا على علم بذلك. الهجمات على خدمات Microsoft وتقديم المشورة لها حول كيفية تحديد ما إذا كانت قد تعرضت للاختراق (مدونة استخبارات التهديدات الأمنية).
لقد ذهب تقرير CSRB إلى أبعد من ذلك، حيث حدد أن الهيئات الحكومية ومشغلي البنية التحتية الوطنية الحيوية (CNI) الذين يقومون بتشغيل الخدمات على منصات Microsoft السحابية هم بالفعل هدف رئيسي للمتسللين الصينيين وغيرهم من المتسللين الذين ترعاهم الدولة.
وفي هذا الصدد، من المهم أن نفهم أن المملكة المتحدة ربما تكون في خطر أكبر بكثير هنا من حلفائها، حيث أن لديها خدمات سحابية محلية محدودة، وتعتمد بشكل حصري تقريبًا على منصات Microsoft وAWS السحابية في الوظائف الرئيسية للدولة. تستخدم حكومة الولايات المتحدة سحابة Microsoft على نطاق واسع، ولكن بشكل أساسي في نكهة FedRAMP التي يقع مقرها في الولايات المتحدة والمضمونة فيدراليًا – وليس منصة السحابة العامة التي تستخدمها المملكة المتحدة.
من غير المرجح أن تفهم حكومة المملكة المتحدة بشكل صحيح مدى تعرضها للمخاطر على منصة Microsoft السحابية اليوم (وقد ينطبق هذا أيضًا على المنظمات غير الحكومية).
على مدى العقد الماضي، كان اعتماد الخدمات السحابية العامة من Microsoft من قبل القطاع العام في المملكة المتحدة غير مقيد نسبيًا، في حين أن سجلات الإنفاق العام على Microsoft غالبًا ما تكون موجودة في العقود الممنوحة للشركاء ومتكاملي الخدمات، أو مدرجة على أنها “تراخيص”، وبالتالي قد تكون غير دقيقة .
إن فهم خدمات Microsoft التي تعتمد عليها بالضبط – مثل الهوية المستندة إلى السحابة – أصبح أكثر أهمية الآن من أي وقت مضى (وكذلك الآليات الاحتياطية في حالة فشل الخدمات أو فقدانها).
من الضروري أيضًا التأكد من أنك تعرف التطبيقات والخدمات المتوفرة لديك على البنية التحتية السحابية لـ Microsoft، والبيانات الموجودة في كل منها بالضبط.
على المستوى الحكومي، تحتاج المملكة المتحدة إلى إجراء تدقيق مناسب لاستخدام السحابة من قبل كل هيئة عامة وإنشاء سجل وطني لأصول المعلومات.
وبمجرد حصولنا على كليهما، يمكننا أن نأمل في فهم موقفنا الوطني من المخاطر.
إذا اضطررنا إلى قطع الاتصال بشركة Microsoft، فماذا يعني ذلك بالنسبة لعملياتنا التجارية؟
هذا السؤال صالح الآن كما كان عندما طرحته لأول مرة – مع الأخذ في الاعتبار الإضافي أنه في حين أنه ربما كانت هناك في السابق بعض المؤشرات على وجود اختراقات ونقاط ضعف أمنية في Microsoft؛ وقد أكد تقرير CSRB الآن أن هذين الاحتمالين حقيقة مثبتة.
بالإضافة إلى ذلك، قد ترغب المؤسسات التي بدأت في اعتماد (أو الاعتماد على) خدمات Azure أو 365 التي تم طرحها حديثًا في الاستعداد لاحتمال قيام Microsoft بسحبها أو تعليقها – وهو ما قد تضطر إلى القيام به إذا صدرت التوصيات الموجهة إلى رئيس الولايات المتحدة. تتم متابعة ما تم إجراؤه بواسطة CSRB.
وبالتالي فإن الاستثمارات في أحدث التقنيات قد تحمل الآن بعض المخاطر الإضافية، أو قد تحتاج خطط المشروع إلى المراجعة.
وهذه ليست مخاطرة “التحرك الآن” العاجلة – فأنا أشك في أننا سنشهد تخفيضات في الخدمات على نطاق واسع، ولكن الأمر يستحق المراقبة الدقيقة. ربما يكون من المرجح أن تظل الميزات القادمة في مرحلة تجريبية أو معاينة محدودة لفترة أطول من الوقت.
هل ما زالت القرارات التي اتخذناها سابقاً بناءً على قبول المخاطرة سارية المفعول؟
تعمل جميع المنظمات اليوم على درجة معينة من قبول المخاطر، ويتطلب القيام بذلك منا مراجعة موقف المخاطر لدينا بشكل منتظم مع تغير الظروف.
يحدد تقرير CSRB عددًا من السلوكيات المثيرة للقلق والأولويات المنخفضة للأمان في Microsoft، وإذا كان قبول المخاطر الخاص بك يعتمد جزئيًا على ممارسات الأمان الجيدة الجوهرية من قبل Microsoft، فقد يكون من الحكمة قراءة تقرير CSRB وتحديد ما إذا كان يجب عليك إعادة- فحصهم.
أعلنت Google مؤخرًا عن بديل لـ “نموذج المسؤولية المشتركة” للسحابة، وبالنظر إلى أنه في حالة Microsoft يبدو أن مسؤوليتها في الحفاظ على أمان السحابة لم يتم الوفاء بها بشكل جيد، فإن Google مصير مشتركربما يكون النموذج يستحق النظر فيه، وقد يكون أكثر توازناً.
هل يجب أن ننظر إلى منصة سحابية مختلفة – أو حتى استضافة ذاتية؟
في حين أن مجلس CSRB كان ينتقد Microsoft بشدة، إلا أنه لا يزال إيجابيًا على نطاق واسع بشأن الخدمات السحابية بشكل عام، ودعا إلى ممارسات جيدة محددة في Google وAWS وOracle مما يشير إلى أن ثقتهم الأساسية في السحابة كنموذج للتسليم تظل قوية.
في نهاية المطاف، يعد اتخاذ قرار بالانتقال من مزود الخدمة السحابية الحالي الخاص بك خيارًا صعبًا – لا يجب أن يتم اتخاذه دون تفكير متأني، إلا إذا كنت تعتقد أنه نظام أساسي غير آمن في جوهره لاستخدامك الخاص.
بالنسبة لبعض الخدمات الحكومية، لن يكون من غير المعقول التوصل إلى هذا الاستنتاج على أساس تقرير CSRB – ولكن على الرغم من ذلك، من غير المرجح أن تكون أي هجرة حكومية من مايكروسوفت سهلة أو مستساغة في المناخ الحالي.
ومع ذلك، يوجد الآن أساس سليم للنظر في التوقف مؤقتًا عن المزيد من اعتماد نظام Microsoft الأساسي، وربما حتى تطبيق حظر على استخدامه لبعض أنواع البيانات حتى يتم اتخاذ إجراء بشأن تقرير CSRB، والوسائل الدقيقة التي يمكن من خلالها لشركة Microsoft تم الاختراق تم تحديده.
وحتى الآن – بعد تسعة أشهر من الهجوم – توصل مجلس CSRB إلى أن مايكروسوفت لا تزال ليس لديها فهم واضح لكيفية تمكن Storm-0558 من غزو خدمات تحديد الهوية الخاصة بشركة Microsoft بعمق، وهذا يجب أن يقلقنا جميعًا.
لن يكون من الحكمة بالنسبة لحكومة المملكة المتحدة عدم التصرف بناءً على هذا التقرير بطريقة ذات معنى في ضوء النتائج التفصيلية للتحليل الأمريكي والاستشهاد المنتظم بتحقيقات NCSC داخل التقرير.
على الرغم من أن سياسة Cloud First الخاصة بشركة HMG غالبًا ما يتم الاستشهاد بها كمبرر لدفع الخدمات إلى السحابة العامة، إلا أنه يجب موازنة ذلك مع القرارات القائمة على الأدلة المتوقعة من الهيئات العامة التي تختار القيام بذلك.
ال مبادئ أمان السحابة NCSC تحديد العديد من حالات الاستخدام والتحذيرات حيث قد لا يكون استخدام السحابة العامة هو الخيار الصحيح، ولكن القليل من المؤسسات تستخدم المبادئ على النحو المقصود منها – لتقييم النظام الأساسي السحابي المناسب والمساعدة في اختياره، وليس كتمرين للامتثال في خانة الاختيار.
ختاماً
لقد كان استخدام الخدمات السحابية العامة دائمًا بمثابة تمرين لتحقيق التوازن بين المخاطر مقابل المكافأة، وفي الوقت الحالي يشير تقرير CSRB إلى أن المكافآت التي سيتم الحصول عليها من استخدام Microsoft قد تتفوق عليها إلى حد ما العديد من المؤسسات، ولأول مرة، المخاطر التي تفرضها ثقافة الشركات والممارسات الأمنية السيئة.
هذا هو القرار الذي يواجهه الآن عملاء Microsoft – سواء التجاريون أو في القطاع العام: في ضوء تقرير CSRB، هل الثقة في Microsoft الآن في غير محلها؟
هل نحتاج إلى الاعتدال أو البدء في تقليل اعتمادنا على سحابة مايكروسوفت، أم يجب علينا الاستمرار بغض النظر عن ذلك ونأمل ألا نقع في خطأ الهجوم التالي الذي ترعاه الدولة؟
