Microsoft thông báo làm mất nhiều tuần nhật ký bảo mật của các sản phẩm đám mây khách hàng

 (techcrunch.com)
2 điểm bởi GN⁺ 2024-10-22 | 1 bình luận | Chia sẻ qua WhatsApp

  • Mất nhật ký bảo mật

    • Microsoft đã thông báo cho khách hàng rằng nhật ký bảo mật của một số sản phẩm đám mây đã bị mất trong hơn 2 tuần
    • Từ ngày 2/9 đến 19/9, một lỗi trong tác nhân giám sát nội bộ của Microsoft đã gây ra sự cố khi tải dữ liệu nhật ký lên
    • Đây không phải do sự cố bảo mật gây ra và chỉ ảnh hưởng đến việc thu thập các sự kiện nhật ký
    • Business Insider là đơn vị đầu tiên đưa tin về việc mất dữ liệu nhật ký này
    • Nhật ký giúp theo dõi các sự kiện như thông tin đăng nhập người dùng và các lần thử đăng nhập thất bại để nhận diện xâm nhập mạng
    • Việc mất nhật ký có thể khiến khách hàng khó xác định truy cập trái phép trong mạng của mình hơn
    • Các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview và các sản phẩm khác
    • Microsoft đã hoàn tác thay đổi dịch vụ để khắc phục vấn đề và sẽ hỗ trợ các khách hàng bị ảnh hưởng

  • Mối liên hệ với vụ tấn công của tin tặc Trung Quốc

    • Năm ngoái, Microsoft đã bị chỉ trích vì không cung cấp nhật ký bảo mật trên dịch vụ đám mây đang lưu trữ email của các cơ quan chính phủ Mỹ
    • Nhóm tin tặc Trung Quốc Storm-0558 đã xâm nhập vào mạng của Microsoft và truy cập email của chính phủ Mỹ
    • Bộ Ngoại giao Mỹ đã xác định được vụ xâm nhập nhờ truy cập nhật ký bảo mật thông qua gói bản quyền Microsoft cấp cao hơn
    • Từ tháng 9/2023, Microsoft bắt đầu cung cấp nhật ký cả cho các tài khoản đám mây ở gói giá thấp hơn

  • Tóm tắt của GN⁺

    • Việc Microsoft làm mất nhật ký bảo mật một lần nữa nhắc lại tầm quan trọng của bảo mật đám mây
    • Việc mất nhật ký có thể tạo ra rủi ro khiến an ninh mạng của khách hàng tạm thời trở nên dễ bị tổn thương hơn
    • Mối liên hệ với vụ tấn công của tin tặc Trung Quốc nhấn mạnh tầm quan trọng của nhật ký bảo mật, đồng thời cho thấy doanh nghiệp cần tăng khả năng tiếp cận các nhật ký này
    • Các giải pháp bảo mật có chức năng tương tự được khuyến nghị gồm Splunk, IBM QRadar và các sản phẩm khác

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-10-22
Ý kiến trên Hacker News

  • Việc dùng Azure trong môi trường production thực tế là trách nhiệm của người dùng. Dù có $100,000 tín dụng miễn phí cũng sẽ không dùng quá một tháng. Nó đắt, giao diện không thân thiện với người dùng, và sản phẩm không đủ đáng tin cậy cho workload production.

    • Nghĩ rằng Microsoft có thể làm tốt hơn.

  • Gần như mọi đội ngũ đều có lỗi trong ứng dụng chạy trên VM. Vấn đề phát sinh trong quá trình đẩy log ứng dụng vào storage. Nhiều đội đã phải khởi động lại agent thủ công.

  • Các sản phẩm của Microsoft đã bị ảnh hưởng. Bao gồm Entra, Sentinel, Defender for Cloud, Purview, v.v.

    • Việc Entra bị ảnh hưởng là nghiêm trọng. Nhưng không có nhiều người cần log SSO.

  • Không nên quên các bài viết nói về những thất bại an ninh mạng ở nước ngoài của Microsoft và việc cố tình phớt lờ chúng.

  • Tò mò không biết chiến dịch thông tin nào đã hỗ trợ việc này.

  • Có nghi ngờ rằng log hệ thống đã phơi bày các lỗ hổng của nền tảng. Bộ phận marketing để mất log và có mùi như đang cố câu giờ.

  • Tự hỏi liệu NSA có đánh cắp log hay không.

  • Batch Service của Azure khá tệ. Bộ lập lịch công việc hoàn toàn không chính xác.

  • Tò mò vì sao họ lại công khai thừa nhận vấn đề này.