- CISA publica un nuevo manual para empresas y organizaciones gubernamentales
- El tutorial hace referencia a los registros de nube extendidos de Microsoft.
- Microsoft amplió sus registros en la nube después del incidente de Outlook de julio de 2023
Microsoft amplió recientemente las capacidades de registro para sus servicios en la nube, lo que podría significar cambios significativos para las organizaciones gubernamentales de EE. UU.
En julio de 2023, un actor de amenazas patrocinado por el estado chino encontró una manera de acceder a cuentas de correo electrónico pertenecientes a funcionarios gubernamentales que trabajan en el Departamento de Estado y el Departamento de Comercio. Las consecuencias fueron grandes y provocaron que Microsoft ampliara las capacidades de registro gratuito para todos los usuarios de Purview Audit Standard, entre otras cosas.
Ahora, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado su guía, explicando a las agencias y organizaciones gubernamentales cómo aprovechar los cambios.
Navegando por registros extendidos
Las nuevas directrices son un manual de 60 páginas, por lo que los cambios podrían ser bastante importantes.
“Estas capacidades también permiten a las organizaciones monitorear y analizar miles de acciones de usuarios y administradores realizadas en docenas de servicios y soluciones de Microsoft”, dijo CISA. “Estos registros proporcionan nueva telemetría para mejorar las capacidades de búsqueda de amenazas para el compromiso del correo electrónico empresarial (BEC), actividades de amenazas avanzadas en estados nacionales y posibles escenarios de riesgo interno.
El tutorial también analiza la navegación por los registros extendidos dentro de Microsoft 365 y su uso con los sistemas Microsoft Sentinel y Splunk Security Information and Event Management (SIEM).
En julio de 2023, el grupo chino de ciberespionaje Storm-0558 aprovechó una vulnerabilidad en el sistema de correo electrónico Microsoft Outlook para obtener acceso no autorizado a cuentas de correo electrónico pertenecientes a agencias gubernamentales de EE. UU. y otras organizaciones. Los atacantes utilizaron una clave de seguridad de Microsoft robada para falsificar tokens de autenticación. evitando al mismo tiempo las medidas de seguridad.
Como resultado, Microsoft se vio obligado a revocar la clave de seguridad comprometida, fortalecer sus sistemas de validación de tokens y mejorar la transparencia al proporcionar informes detallados de incidentes y actualizaciones de seguridad a los clientes afectados. Además, ha enfrentado críticas por sus prácticas de seguridad en la nube y ha sido presionada para mejorar las salvaguardias para evitar violaciones similares en el futuro.
Microsoft también lanzó su Secure Future Initiative (SFI) en noviembre de 2023, un programa integral de ciberseguridad que tiene como objetivo mejorar la resiliencia de la seguridad en todos sus productos y servicios. Ha invertido mucho en capacidades avanzadas de detección, prevención y respuesta a amenazas.
a través de pitidocomputadora