Microsoft признаха пропуските си в областта на сигурността
Президентът на Microsoft Брад Смит призна за сериозните пропуски в сигурността, които компанията е направила в последните години. Признанието му беше направено пред специфичната сенатска комисия по въпросите на националната сигурност. Изслушването на Смит се организира по-рано тази седмица, а мотив за това са сполучливите офанзиви към SolarWinds през 2020 и към Exchange Online от предходната година.
Припомняме, че случаят със SolarWinds се явяваше типичен вид офанзива към веригите за доставка. Компрометирането на продуктовите сървъри на компанията е разрешила голям брой пробиви към системите на високопрофилни цели. Компанията е снабдител на програмен продукт за отдалечено обслужване на компютърни системи, употребен главно от компании. Що се отнася до офанзивата от предходната година, то серия от пропуски в дизайна на услугите на Microsoft е довел до сполучлив пробив към американски държавни активи.
Изслушването идва също по този начин на фона на неотдавна оповестен материал на страниците на ProPublica. В него някогашен чиновник на Microsoft твърди, че предизвестията му за пропуски в отбраната са били непрекъснато подценявани от управлението. През 2016, Андрю Харис открива сериозна дупка в един от главните механизми за засвидетелствуване на самоличността в облака, която би имала пагубни последствия. На Microsoft им предстояло сключването на многомилиардна облачна договорка с американските военни. И общественото самопризнание на дупката е щяла да докара до неуспех.
„ Харис е бил уверен, че някой ще открие по какъв начин да се възползва от слабостта “, пишат ProPublica. „ Все отново е съумял да измисли краткотрайно решение, само че то изисквало от клиентите да изключат една от най-удобните и известни функционалности на Microsoft. Това било опцията за достъп до съвсем всяка стратегия, употребена на работното място, с едно влизане в системата “. Това, заключават публицистите, разрешило на хакерите да осъществят с триумф офанзивата към SolarWinds. „ Вземаните решения не се вземат въз основата на това, което е най-добре за клиентите, а за самите Microsoft “, изяснява Харис. През 2020, обезсърчен от бездействието на своите шефове, Харис напуща Microsoft. В момента работи в един от водачите на пазара на киберсигурност в света CrowdStrike.
В документално изказване за комисията, Смит признава виновността на Microsoft в случая, обещавайки, че към този момент работят по справяне с проблемите. Освен това, той привежда стартиралата през предходната година самодейност на Microsoft с името Secure Future Initiative. Става дума за огромен план, обхващащ всички отдели и звена на компанията. Той цели възстановяване инспекциите на качеството на кода във връзка с сигурността, засилено образование и други
Според експерт по сигурността, представен от SiliconAngle, Microsoft просто не са спазили обещанията си пред обществото.
„ За страдание, в търсенето на нови функционалности за работливост и по-висока цена на акциите, Microsoft са оставили на назад във времето сигурността и конфиденциалността в дизайна на продуктите си “, разяснява за изданието Райън Калембер от Proofpoint. Той продължава с това, че Microsoft са видели пропуските си едвам след важен напън от цялата промишленост по сигурност. „ За да видят това, което е “, декларира Калембер. „ Огромен, солиден и елементарно експлоатируем риск за сигурността “. Калембер не е единственият член на киберзащитната промишленост, отправящ остра рецензия към Microsoft. Припомняме, че при солидният пробив от предходната година, компания с името WizSecurity разгласява обстоен отчет по случая. В него се посочваха пропуските на Microsoft, разрешили на хаерите да доближат „ ключовете на кралството “.
