Das Cybersecurity-Unternehmen CISA hat kürzlich ein neues Handbuch für Regierungsunternehmen und Unternehmen veröffentlicht, das sich mit erweiterten Cloud-Logs von Microsoft befasst. Microsoft hat nach dem Vorfall im Juli 2023 mit Outlook seine Cloud-Logs erweitert.

Die erweiterten Fähigkeiten zur Protokollierung von Microsoft für Cloud-Dienste könnten bedeutende Veränderungen für US-Regierungsorganisationen bedeuten. Im Juli 2023 konnte eine chinesische, staatlich unterstützte Bedrohungsakteurin auf E-Mail-Konten von Regierungsbeamten im Außenministerium und im Handelsministerium zugreifen. Die Folgen waren gravierend und führten dazu, dass Microsoft die kostenlosen Protokollierungsmöglichkeiten für alle Purview Audit Standard-Benutzer erweiterte, neben anderen Änderungen.

Nun hat die US Cybersecurity and Infrastructure Security Agency (CISA) ihre Anleitung veröffentlicht, die Regierungsbehörden und Unternehmen erklärt, wie sie von den Änderungen profitieren können. Ein Schwerpunkt liegt auf der Navigation durch die erweiterten Logs innerhalb von Microsoft 365 sowie deren Verwendung mit Microsoft Sentinel und Splunk Security Information und Event Management (SIEM)-Systemen.

Im Juli 2023 nutzte die chinesische Cyber-Spionagegruppe Storm-0558 eine Schwachstelle im Outlook-E-Mailsystem von Microsoft aus, um unbefugten Zugriff auf E-Mail-Konten von US-Regierungsbehörden und anderen Organisationen zu erhalten. Die Angreifer verwendeten dabei einen gestohlenen Microsoft-Sicherheitsschlüssel, um Authentifizierungstoken zu fälschen und Sicherheitsmaßnahmen zu umgehen.

Als Reaktion musste Microsoft den kompromittierten Sicherheitsschlüssel widerrufen, seine Token-Validierungssysteme stärken und die Transparenz verbessern, indem detaillierte Zwischenfallberichte und Sicherheitsupdates für betroffene Kunden bereitgestellt wurden. Darüber hinaus stand es unter Prüfung seiner Cloud-Sicherheitspraktiken und wurde unter Druck gesetzt, Schutzmaßnahmen zu verbessern, um ähnliche Sicherheitsverletzungen in Zukunft zu verhindern.

Microsoft startete im November 2023 auch sein Secure Future Initiative (SFI), ein umfassendes Cybersicherheitsprogramm zur Verbesserung der Sicherheitsbeständigkeit seiner Produkte und Dienstleistungen. Es investierte stark in fortschrittliche Bedrohungserkennung, -prävention und -reaktionsfähigkeiten.

Via BleepingComputer.