El DHS dice que la violación de Microsoft en 2023 se pudo prevenir, los piratas informáticos chinos explotan la cultura empresarial


Un nuevo informe de la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional (DHS) responsabiliza a Microsoft por un ciberataque en el que piratas informáticos chinos comprometieron cuentas de correo electrónico gubernamentales a mediados de 2023. La CSRB concluyó que la infracción se podía prevenir y que una “cultura corporativa que ignoraba las inversiones en seguridad corporativa y la gestión rigurosa de riesgos” había creado una oportunidad para los piratas informáticos.

Los piratas informáticos chinos explotaron las debilidades de las computadoras portátiles de los empleados y de la infraestructura heredada comprometida

Esta revisión es la tercera desde que se llevó a cabo la CSRB en 2022. El propósito de estas revisiones es informar a la administración presidencial y a los entrevistados sobre fallas específicas durante las violaciones de seguridad y hacer recomendaciones para mejorar las defensas. Para este informe en particular, CISA reúne a los principales proveedores de servicios en la nube y utiliza las recomendaciones para crear una guía general para la industria.

La investigación del DHS se anunció en agosto de 2023, aproximadamente un mes después de que se conociera la noticia de que piratas informáticos chinos habían violado las cuentas de Microsoft Exchange Online de funcionarios gubernamentales (y algunas empresas privadas). La violación de seguridad se atribuyó a Storm-0558, un grupo de amenazas respaldado por el gobierno chino con un historial de espionaje y que se cree que ha estado activo desde al menos 2004.

La CSRB criticó específicamente a Microsoft por una serie de “decisiones operativas y estratégicas” que demostraron problemas con su cultura corporativa, acusando a la empresa de descuidar las inversiones en seguridad corporativa y descuidar los procesos de gestión de riesgos. Las violaciones de seguridad se han descrito anteriormente como una “cascada de fallas”, pero este nuevo informe amplía ese punto.

Uno de los problemas centrales es que, casi un año después del incidente, todavía no está claro cómo los hackers chinos obtuvieron las claves de firma. Poco después de la infracción, Microsoft anunció que los atacantes habían comprometido la cuenta de un ingeniero y descubrieron claves que estaban almacenadas incorrectamente en un entorno de depuración y a las que se podía acceder mediante volcados de memoria. Desde entonces, la compañía cambió su explicación, diciendo que no encontró evidencia del volcado de memoria del cual supuestamente se extrajeron las claves, pero que la cuenta del ingeniero comprometida de alguna manera condujo al acceso a las claves que se filtraron fuera del entorno seguro. entonces.

El informe también señala que Microsoft podría haber frustrado a los piratas informáticos chinos si hubiera implementado un sistema de rotación automática de claves. Pero no son sólo los problemas técnicos los que han enojado a la CSRB. Los investigadores también dicen que las declaraciones públicas de la compañía sobre el tema son engañosas y tardan demasiado en actualizarse para reflejar nueva información. También parece que la empresa no estaba al tanto de la violación de seguridad hasta que un cliente se lo señaló.

Amit Yoran, presidente y director ejecutivo de Tenable, considera que el informe es una llamada de atención para las organizaciones. “La CSRB ha publicado un trabajo impresionante. Este no es un documento vago y diluido lleno de palabrería y tópicos gubernamentales, después de una investigación exhaustiva, este prestigioso organismo profesional es una poderosa llamada de atención para que los proveedores de la nube hagan de las fallas cibernéticas un tema importante. Las fallas cibernéticas son a veces inevitables, pero no siempre deben asumirse. El gobierno federal está adoptando una postura firme contra las repetidas fallas de ciberseguridad de Microsoft, diciendo que “la intrusión se podía prevenir”. [CSRB] La serie de decisiones operativas y estratégicas de Microsoft demuestran colectivamente una cultura corporativa que devalúa las inversiones en seguridad y la gestión rigurosa de riesgos, y enfatiza la posición central de la empresa en el ecosistema tecnológico y el compromiso con los datos y las operaciones comerciales era inconsistente con el nivel de confianza. los clientes tenían en la empresa en materia de protección. No me avergüenzo de mis palabras. No podría estar más orgulloso de la madurez de CISA y CSRB. “

Las violaciones de seguridad pueden afectar la seguridad nacional

La brecha de seguridad de Microsoft es de particular interés porque los productos de la compañía están ampliamente integrados en redes federales y en todos los sistemas esenciales para las funciones y la defensa nacional. El informe cita un correo electrónico enviado por el ex director ejecutivo Bill Gates en 2002, en el que Gates imploró a la empresa que siempre antepusiera la seguridad a todas las demás prioridades, explicando cómo Microsoft se estaba alejando de su cultura y misión.

El error cometido a mediados de 2023 comprometió al menos a 22 organizaciones y 500 personas, y dio a los piratas informáticos chinos el poder de descifrar cualquier cuenta de correo electrónico de Exchange Online durante unas seis semanas. Durante ese tiempo, robaron aproximadamente 60.000 correos electrónicos sólo del Departamento de Estado, pero el gobierno de Estados Unidos sostiene que las cuentas comprometidas no contenían información sensible ni amenazaban la seguridad pública.

La CSRB ha llegado a la conclusión de que los hackers chinos han demostrado que la cultura de seguridad de Microsoft es “inadecuada” y necesita una revisión inmediata, y la empresa parece aceptarlo. En respuesta al informe, la empresa está movilizando a su equipo de ingeniería para identificar y mitigar la infraestructura heredada, mejorar los procesos y realizar pruebas comparativas de seguridad. Las recomendaciones específicas hechas en el informe incluyen una moratoria completa sobre la adición de nuevas funciones a los entornos de computación en la nube hasta que se realicen las mejoras de seguridad necesarias, y una descripción de cómo y cuándo se puede mejorar cada producto. Esto incluye la publicación del cronograma publicado.

Jeff Williams, cofundador y CTO de Contrast Security, cree que la CSRB fue demasiado dura al apuntar a Microsoft por fallas corporativas comunes. “La protección de secretos como las claves criptográficas, que Microsoft no logró proteger adecuadamente, es una parte importante de la ciberseguridad. Pero también es un problema muy generalizado que afecta a casi todas las grandes empresas”, dijo la CSRB, en particular, acusa a Microsoft de ser “corporativo”. cultura que ignora las inversiones en seguridad empresarial y la gestión rigurosa de riesgos”, sin darse cuenta de que Microsoft está literalmente creando una cultura de vergüenza y culpa en todo el mercado de software. Sí. Las últimas dos décadas han demostrado que la vergüenza y la culpa no son formas efectivas de mejorar la seguridad. De hecho, a menudo resulta contraproducente, ya que crea una cultura de ocultar detalles de seguridad y conduce a más vulnerabilidades en lugar de una cultura de transparencia que aprovecha las fuerzas del mercado para mejorar la seguridad. Al atacar públicamente a empresas que han sido comprometidas con éxito (y, por cierto, víctimas de los ataques), la CSRB está haciendo aún más difícil aumentar la transparencia en sus prácticas de seguridad. “

“Este incidente recuerda al incidente de 2017 en el que el Congreso de los EE. UU. criticó duramente a Equifax por una violación de datos relacionada con la biblioteca. Argumentaron que casi todas las empresas de la industria tenían exactamente el mismo problema ((y todavía lo tienen), se dirigieron a una empresa que sufrió una violación de datos. Más zanahorias y menos palos, menos sermones, para tener la oportunidad de mejorar el panorama general de ciberseguridad. También necesitamos un apoyo real”, añadió Williams.



Fuente: https://www.cpomagazine.com/cyber-security/dhs-finds-2023-microsoft-security-breach-was-preventable-chinese-hackers-took-advantage-of-corporate-culture/