Microsoft ответила на вопросы Конгресса о безопасности. Теперь Белый дом должен действовать

Важные новости

Microsoft ответила на вопросы Конгресса по безопасности. Теперь Белому дому необходимо act

Функция Президент Microsoft Брэд Смит во время слушаний в Конгрессе в четверг произнес примирительный тон в отношении неоднократных сбоев в компьютерной безопасности своего ИТ-гиганта, одновременно заявив, что производитель Windows стоит, по крайней мере, над верховенством закона. в Китае.

Он почти три часа отвечал на вопросы представителей Палаты представителей США о недостатках Microsoft в области информационной безопасности. Теперь пришло время Белому дому и Конгрессу выполнить свою работу и гарантировать, что через шесть месяцев мы не узнаем об еще одной редмондской ошибке, использованной иностранным правительством.

И у правительства США есть несколько инструментов для этого. его распоряжение, от распоряжений президента до федеральных расходов, чтобы избежать еще одного нарушения безопасности, связанного с Microsoft.

Смит начал свои показания перед Конгрессом на этой неделе, приняв «ответственность за каждую из проблем», упомянутых в недавнем отчете Министерства внутренней безопасности, в котором Microsoft была подвергнута критике за ряд «предотвратимых ошибок». Эти ошибки, как показало расследование, позволили поддерживаемым Пекином кибершпионам украсть десятки тысяч конфиденциальных писем из почтовых ящиков Exchange Online высокопоставленных чиновников правительства США, размещенных на сервере Microsoft.

Эта кража стала возможной благодаря тому, что Китай украл криптографический ключ из файла аварийного дампа, который был оставлен во внутренней корпоративной сети Microsoft, подключенной к Интернету; ключ не должен был выйти за пределы изолированной производственной среды мегакорпорации.

Несмотря на серьезное вторжение Китая в систему безопасности, Смит защищал бизнес Microsoft в Поднебесной. Законы о национальной разведке в Китае могут быть использованы для того, чтобы заставить работающие там компании предоставлять правительству шпионские услуги или передавать проприетарный код, если к этому принудят. Но Microsoft не обязана подчиняться этому требованию, заявил Смит некоторым неверующим членам Конгресса.

Mea culpa, затем отклоняюсь

Он получает пятёрку за презентация, но двойка за содержание. Смит объявил свою вину, но также отклонил некоторые острые вопросы законодателей о Китае и о том, почему Microsoft не выполняет очень важную работу (защиту своего кода, что в данном случае также является вопросом национальной безопасности), которую правительство выполняет. платя за это миллионы долларов. 

Смит также сказал, что он не читал отчет ProPublica, который был опубликован накануне слушаний в подкомитете внутренней безопасности и стал предметом нескольких вопросов руководителю. В этом отчете о расследовании упоминается бывший инженер-разоблачитель Microsoft, который утверждал, что еще в 2017 году он неоднократно предупреждал руководителей об ошибке аутентификации, из-за которой пользователи Microsoft и их рабочие учетные записи были уязвимы для компрометации.

Если бы что-то подобное случилось с нами… это не только уничтожило бы наш продукт на рынке, но и правительство просто выгнало бы нас

Этот недостаток, о котором нам говорят, заключается в использовании слабостей со службой федерации Active Directory Microsoft и SAML, предположительно использовался шпионами российского правительства за бэкдором SolarWinds.

По словам осведомителя, кремлевские шпионы использовали уязвимость аутентификации на основе SAML, чтобы получить полный доступ к файлам и сообщениям организаций после проникновения в ИТ-сети этих жертв через защищенное программное обеспечение SolarWinds. Другими словами, это была уязвимость, возникшая после эксплуатации.

Утверждалось также, что Microsoft отказалась исправить эту многолетнюю проблему, поскольку при этом корпорации пришлось бы признать, что ее программное обеспечение Active Directory было неисправным. , что могло стоить компании миллиарды долларов, поскольку в то время компания боролась за крупный ИТ-контракт с федеральным правительством США.

После вторжения в Exchange Online все обещания Microsoft улучшить безопасность и пересмотреть всю свою культуру безопасности являются либо добровольными, либо (с учетом таких идей, как привязка заработной платы топ-менеджеров к эффективности безопасности) их будет очень сложно измерить. .

«Если бы это был любой другой поставщик, если бы что-то подобное произошло с нами, где у нас была такая зияющая дыра в безопасности, что иностранные правительства могли бы проникнуть в нашу облачную среду, это не только уничтожило бы наш продукт на рынке, потому что у нас нет доверия, но правительство просто выгнало бы нас», — сказал The Register технический директор Trellix Каран Сонди.

По словам Сонди, повторяющиеся вторжения как российских, так и китайских кибершпионов подчеркивают риски национальной безопасности, связанные с растущей зависимостью Дяди Сэма от одного поставщика технологий.

Специально для Microsoft и Америки: правительство США использует все, от облачной инфраструктуры суперкорпорации до ее операционной системы и инструментов повышения производительности, а затем добавляет к ним продукты безопасности Redmond, которые, по словам Trellix и других поставщиков информационной безопасности, препятствуют конкуренции на рынке.

«Мы просто говорим правительству: проведите независимую оценку инструментов безопасности», — сказал Сондхи. «Оцените эффективность инструментов безопасности независимо от пакета, предлагаемого Microsoft, и выберите свой любимый. Если это мы, отлично. Если это CrowdStrike, вам больше возможностей. Если это Sentinel One, отлично».

Microsoft, добавил он, «должна исправлять уязвимости в своих продуктах. Они должны сосредоточиться на этом, а не пытаться продать вам инструменты безопасности».

Microsoft… должны исправлять уязвимости в своих продуктах. Им следует сосредоточиться на этом

Когда во время слушаний в Конгрессе его спросили о методах объединения Microsoft, которые могут отговорить правительство и других клиентов от выбора стороннего поставщика для обеспечения безопасности, Смит ответил: «Мне не известны какие-либо так называемые методы, которые ограничивают возможности наших клиентов. делать с точки зрения защиты кибербезопасности.»

Нет реального стимула к переменам

Пока федеральные деньги продолжают поступать в казну Microsoft, реального стимула к переменам нет. Данные правительства США показали, что только в 2023 году выплаты Microsoft составили не менее 498 миллионов долларов.

В письме от 29 мая ИТ-директору Министерства обороны США Джону Шерману сенаторы Рон Уайден (демократ от штата Орегон) и Эрик Шмитт (республиканец от штата Миссури) задали вопрос, почему Пентагон «удваивает» свои инвестиции в продукты Microsoft, несмотря на серьезные намерения ИТ-гиганта. недостатки.

Это произошло после того, как Совет по обзору кибербезопасности Министерства внутренней безопасности раскритиковал «каскад» нарушений безопасности Microsoft, которые сделали возможным цифровое вторжение Китая в правительственные почтовые ящики.

Пришло время администрации Байдена «приступить к делу».

Под руководством президента Джо Байдена администрация заявила о своей приверженности укреплению национальных сетей. Это включало выпуск Национальной стратегии кибербезопасности в марте 2023 года.

Часть стратегии сосредоточена на том, чтобы привлечь производителей программного обеспечения к ответственности за недостатки безопасности в их продуктах, тем самым перенеся ИТ-защиту с конечных пользователей технологий на поставщиков. В нем также говорится, что администрация будет работать с Конгрессом и частным сектором над разработкой законодательства, касающегося безопасного программного обеспечения и услуг.

Microsoft исправляет ошибку pwn-me-by-Wi-Fi в Windows

НА ЭТОЙ НЕДЕЛЕ

Кроме того, на это направлено обязательство Агентства по кибербезопасности и безопасности инфраструктуры США, подписанное почти 70 компаниями-разработчиками программного обеспечения, включая Microsoft — на конференции RSA в прошлом месяце.

Другая часть стратегии предполагает инвестирование в долгосрочные методы обеспечения безопасности на уровне правительства и предприятия, а не полагаться на краткосрочные исправления, такие как исправления и более временные решения. к проблемам.

«Вы не можете достичь обеих этих целей при минимальном регулировании», — сказал Симпсон. «Лучший способ сделать это — полностью задействовать правительство как крупнейшего потребителя в мире. Речь идет о покупательной способности. Если они не изменят практику закупок, позор им. Им придется говорить о своей стратегии». ®

Новости сегодня

Последние новости