bencede
New member
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Siber Güvenlik İnceleme Kurulu, geçen yaz Azure'a ait bir ana anahtarın çalınmasına ilişkin raporunu yayınladı. Ve bu zor: ABD hükümetinin siber güvenlik kurumu, Microsoft'u birden fazla siber güvenlik hatasıyla suçluyor ve önemli güvenlik iyileştirmeleri sağlanana kadar yeni bulut özelliklerinin geliştirilmesinin ertelenmesini tavsiye ediyor.
Duyuru
Geçen yılın yazında Çinli bilgisayar korsanlarının büyük olasılıkla Azure bulutunun ana anahtarının kontrolünü ele geçirdiği ve bunu diğer şeylerin yanı sıra çeşitli hükümet yetkililerinin çevrimiçi ticaret hesaplarına erişmek için kullandıkları öğrenildi. O zaman bile Microsoft'un pek iyi bir itibarı yoktu: Saldırı Microsoft tarafından değil, bir Azure müşterisi tarafından keşfedildi. CISA Siber Güvenlik İnceleme Kurulunun sonunda olayla ilgili bir raporu ABD başkanına sunması bekleniyordu.
Titizlikle yeniden yapılanma
Bunu yapmak için kurul, saldırıyı ve Microsoft'un başarısızlıklarını titizlikle yeniden yapılandırdı. Nihai raporu yıkıcı bir sonuca ulaşır. Microsoft'un “önlenebilir hatalar dizisi” saldırıyı mümkün kıldı. Şirket, “kripto para mücevherlerinden taviz verildiğini” fark etmedi bile. Diğer bulut sağlayıcıları, Microsoft'un sahip olmadığı güvenlik kontrollerine sahiptir.
Son olarak, Eylül 2023'te Microsoft, bir blog yazısında, her ne kadar bu doğru olmasa da, kazanın nedenini bulduğunu iddia etti ve bunu ancak yönetim kurulundan gelen tekrarlanan talepler sonrasında bu yılın Mart ayında düzeltti. Ocak ayında gün yüzüne çıkan bir diğer önemli Microsoft güvenlik olayı, Siber Güvenlik İnceleme Kurulu'nun Microsoft'un güvenlik kültürüne olan güvenini daha da sarstı. Genel olarak, bir dizi stratejik ve operasyonel kararın, güvenlik ve risk yönetimine düşük öncelik veren bir kurumsal kültürden kaynaklandığı tespit edildi. Ancak Microsoft gibi ABD'nin ekonomisi ve güvenliği açısından çok önemli bir şirketin en yüksek güvenlik, hesap verebilirlik ve şeffaflık standartlarını karşılaması gerekiyor.
Microsoft'a yapılan öneriler de oldukça sert. “Microsoft'un acilen ihtiyaç duyduğu kültürel değişimi” gerçekleştirmek için CEO Nadella ve yönetim kuruluna ihtiyaç var. Artık Microsoft'un güvenlik kültürüne odaklanmalı ve şirketin ve tüm ürünlerinin güvenliğini temelden reform edecek bir yol haritası sunmalılar. Ayrıca Microsoft, güvenlikte önemli iyileştirmeler sağlanana kadar bulut altyapısı ve ürünleri için yeni özellikler geliştirmeyi ertelemelidir.
(nefret)
Haberin Sonu
Duyuru
Geçen yılın yazında Çinli bilgisayar korsanlarının büyük olasılıkla Azure bulutunun ana anahtarının kontrolünü ele geçirdiği ve bunu diğer şeylerin yanı sıra çeşitli hükümet yetkililerinin çevrimiçi ticaret hesaplarına erişmek için kullandıkları öğrenildi. O zaman bile Microsoft'un pek iyi bir itibarı yoktu: Saldırı Microsoft tarafından değil, bir Azure müşterisi tarafından keşfedildi. CISA Siber Güvenlik İnceleme Kurulunun sonunda olayla ilgili bir raporu ABD başkanına sunması bekleniyordu.
Titizlikle yeniden yapılanma
Bunu yapmak için kurul, saldırıyı ve Microsoft'un başarısızlıklarını titizlikle yeniden yapılandırdı. Nihai raporu yıkıcı bir sonuca ulaşır. Microsoft'un “önlenebilir hatalar dizisi” saldırıyı mümkün kıldı. Şirket, “kripto para mücevherlerinden taviz verildiğini” fark etmedi bile. Diğer bulut sağlayıcıları, Microsoft'un sahip olmadığı güvenlik kontrollerine sahiptir.
Son olarak, Eylül 2023'te Microsoft, bir blog yazısında, her ne kadar bu doğru olmasa da, kazanın nedenini bulduğunu iddia etti ve bunu ancak yönetim kurulundan gelen tekrarlanan talepler sonrasında bu yılın Mart ayında düzeltti. Ocak ayında gün yüzüne çıkan bir diğer önemli Microsoft güvenlik olayı, Siber Güvenlik İnceleme Kurulu'nun Microsoft'un güvenlik kültürüne olan güvenini daha da sarstı. Genel olarak, bir dizi stratejik ve operasyonel kararın, güvenlik ve risk yönetimine düşük öncelik veren bir kurumsal kültürden kaynaklandığı tespit edildi. Ancak Microsoft gibi ABD'nin ekonomisi ve güvenliği açısından çok önemli bir şirketin en yüksek güvenlik, hesap verebilirlik ve şeffaflık standartlarını karşılaması gerekiyor.
Microsoft'a yapılan öneriler de oldukça sert. “Microsoft'un acilen ihtiyaç duyduğu kültürel değişimi” gerçekleştirmek için CEO Nadella ve yönetim kuruluna ihtiyaç var. Artık Microsoft'un güvenlik kültürüne odaklanmalı ve şirketin ve tüm ürünlerinin güvenliğini temelden reform edecek bir yol haritası sunmalılar. Ayrıca Microsoft, güvenlikte önemli iyileştirmeler sağlanana kadar bulut altyapısı ve ürünleri için yeni özellikler geliştirmeyi ertelemelidir.
(nefret)
Haberin Sonu