Çalınan Azure ana anahtarı: Microsoft'un güvenlik hatası artık resmi

celeron

Global Mod
Global Mod
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Siber Güvenlik İnceleme Kurulu, geçen yaz Azure'a ait bir ana anahtarın çalınmasına ilişkin raporunu yayımladı. Ve bu zor: ABD hükümetinin siber güvenlik kurumu, Microsoft'u siber güvenlikteki birçok başarısızlıkla suçluyor ve önemli güvenlik iyileştirmeleri sağlanana kadar bulut için yeni özelliklerin geliştirilmesini ertelemesini tavsiye ediyor.

Reklamcılık



Geçen yılın yazında Çinli bilgisayar korsanlarının muhtemelen Azure bulutunun ana anahtarını ele geçirdiği ve bunu diğer şeylerin yanı sıra çeşitli hükümet yetkililerinin çevrimiçi değişim hesaplarına erişmek için kullandıkları öğrenildi. O zamanlar bile Microsoft pek iyi görünmüyordu: Saldırı Microsoft tarafından değil, bir Azure müşterisi tarafından keşfedilmişti. CISA'nın Siber Güvenlik İnceleme Kurulu'nun sonuçta olayla ilgili ABD Başkanı'na bir rapor sunması bekleniyordu.

Titizlikle yeniden yapılanma


Bunu yapmak için kurul, saldırıyı ve Microsoft'un başarısızlıklarını titizlikle yeniden yapılandırdı. Nihai raporu yıkıcı bir karara varıyor. Microsoft'un “önlenebilir hatalar dizisi” ilk etapta saldırıyı mümkün kıldı. Şirket, “kriptografik mücevherlerindeki tavizi” fark etmedi bile. Diğer bulut sağlayıcıları, Microsoft'un sahip olmadığı güvenlik kontrollerine sahiptir.

Son olarak Eylül 2023'te Microsoft, bir blog yazısında olayın nedenini bulduğunu iddia etti, ancak bu doğru değildi ve bunu ancak yönetim kurulunun tekrarlanan talepleri sonrasında bu yılın Mart ayında düzeltti. Ocak ayında gün yüzüne çıkan bir başka ciddi Microsoft güvenlik olayı, Siber Güvenlik İnceleme Kurulu'nun Microsoft'un güvenlik kültürüne olan güvenini daha da sarstı. Genel olarak, güvenlik ve risk yönetimine düşük öncelik veren bir kurum kültüründen kaynaklanan bir dizi stratejik ve operasyonel karar tespit edildi. Ancak Microsoft gibi ABD ekonomisi ve güvenliği açısından bu kadar önemli olan bir şirketin en yüksek güvenlik, hesap verebilirlik ve şeffaflık standartlarını karşılaması gerekiyor.

Microsoft'a öneriler de sert. “Microsoft'un acilen ihtiyaç duyduğu kültürel değişimi” ilerletmek için CEO Nadella ve yönetim kuruluna ihtiyaç var. Artık Microsoft'un güvenlik kültürüne odaklanmaları ve şirketin ve tüm ürünlerinin güvenliğini temelden reforme etmek için bir yol haritası sunmaları gerekiyor. Ayrıca Microsoft'un bulut altyapısı ve ürünleri için yeni özelliklerin geliştirilmesini, güvenlikte önemli iyileştirmeler sağlanana kadar ertelemesi gerekiyor.


(odi)



Haberin Sonu