Em comunicado publicado no último final de semana, a Microsoft informou ter detectado e respondido a uma invasão nos sistemas corporativos da Big Tech, movido pelo grupo cibercriminoso Midnight Blizzard, apontado na mensagem como um agente hostil patrocinado pela Rússia. A detecção ocorreu no último dia 12 de janeiro, mas a Microsoft entende que os primeiros acessos maliciosos foram feitos ainda em novembro de 2023.
Segundo a nota, os invasores conseguiram comprometer uma conta de teste por meio de pulverização de senha e, a partir dele, acessaram e-mails de funcionários da Microsoft, incluindo lideranças sênior e colaboradores de áreas como Cibersegurança e Jurídica, além de outras funções internas. O posicionamento ainda admite a extração de alguns documentos e informa que a gigante de tecnologia segue investigando o incidente, cooperando com as autoridades competentes em favor do melhor desfecho.
A Big Tech também reforça em seu comunicado que o ataque cibernético usou permissões da conta para se infiltrar na rede. O tema de governança dos acessos autorizados e privilegiados dentro do ciberespaço segue desafiando toda a indústria de tecnologia, até mesmo as Big Techs. O tema foi largamente tratado durante os debates de promovidos pelo Congresso Security Leaders em 2023. Durante as conversas, ficou evidente a necessidade de se ampliar a variedade de autenticações dos usuários.
Nesse contexto, o uso de soluções de MFA já avança e são implantadas de forma definitiva e veloz nas empresas. A visão dos C-Levels é de que a senha, como recurso único de autenticação, não é mais suficiente, sendo considerado apenas um entre vários outros recursos exigidos. Assim, a aplicação de múltiplos fatores deve ser ampla, geral e irrestrita para qualquer corporação.
“Mesmo antes das grandes mudanças dos últimos anos, já fazíamos auditorias mensais sobre maturidade e isso nos movimentou a ter 95% da companhia atualmente usando multifator de autenticação. Neste momento, nossa capacidade de monitoramento é extensa, sabendo quando, onde e por que o usuário está acessando aquele espaço. Cada um desses acessos é gravado e auditado nessas reuniões”, exemplificou Lafaiete Neto, Information Security Specialist na ArcelorMittal Sistemas, durante o painel em Belo Horizonte.
Entretanto, a Comunidade de CISOs reconhece as complexidades de se mover tais demandas, causando o mínimo de fricção na jornada do funcionário. Para superar essas questões, eles devem atravessar um longo e necessário processo de implementação, contando com o apoio da alta gestão e dos usuários. Os líderes de SI sugerem aplicações faseadas do MFA, movendo uma transição menos difícil.
“Um país como o Brasil, com formas e níveis tão diversos de uso da tecnologia, certamente enfrenta dificuldades em aplicar plenamente recursos de MFA. Assim, o usuário precisa estar no centro do projeto, orientando uma jornada que viabilize as atividades permitidas com Segurança. Muitos controles levam os funcionários a driblarem as restrições, em vez de agregá-las”, aponta o Gerente de Soluções em Controles Internos do Banco do Brasil, Pablo Galvez.
Senhas em ambientes legados
Outro tema crítico reavivado pelo incidente na Microsoft refere-se aos cuidados necessários com senhas em ambientes e serviços legados, incluindo os que atuam nas linhas de proteção dos ecossistemas. Essa demanda foi abordada recentemente pela Cyber and Infrastructure Security Agency (CISA), ao recomendar à indústria Cyber eliminar rapidamente a gestão de acessos por meio de senhas padronizadas.
Segundo a Head de Cibersegurança, Cristiane Dias, senhas padronizadas de fornecedores representam um risco significativo ao possibilitar acesso não autorizado a sistemas críticos. Portanto, é imperativo garantir integralmente outros tipos de controle de tráfego de usuários.
“Isso implica na revisão das medidas de proteção, implementando as recomendações do órgão para mitigar os riscos e criar um senso de colaboração com empresas do segmento como forma de padronizar as adequações impostas”, explica Cristiane em entrevista à Security Report.
A nota da Microsoft vai de encontro a essa percepção sobre recursos legados, afirmando que há uma nova mudança no equilíbrio entre Segurança e risco corporativo. “Agiremos imediatamente para aplicar nossos padrões de segurança atuais aos sistemas legados e aos processos de negócios internos. Isso provavelmente causará algum nível de interrupção, mas essa é uma etapa necessária entre várias que adotaremos em favor dessa filosofia”, arremata o comunicado.
A Security Report publica, na íntegra, nota divulgada pelo Centro de Resposta de Segurança da Microsoft.
“A equipe de segurança da Microsoft detectou um ataque de estado-nação em nossos sistemas corporativos em 12 de janeiro de 2024 e imediatamente ativou nosso processo de resposta para investigar, interromper a atividade maliciosa, mitigar o ataque e negar mais acesso ao agente da ameaça. O agente foi identificado como Midnight Blizzard, patrocinado pelo Estado russo. Como parte de nosso compromisso contínuo com a transparência responsável, conforme afirmado recentemente em nossa Secure Future Initiative (SFI), estamos compartilhando esta atualização.
A partir do final de novembro de 2023, o agente hostil usou um ataque de pulverização de senha para comprometer uma conta de locatário de teste legado de não produção e se posicionar no sistema. Ele então usou as permissões da conta e acessou uma porcentagem muito pequena de e-mails corporativos da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários de segurança cibernética, jurídica e outras, exfiltrando alguns e-mails e documentos anexados. A investigação indica que eles estavam inicialmente visando obter informações relacionadas à própria Midnight Blizzard. Estamos no processo de notificar os funcionários cujos e-mails foram acessados.
O ataque não foi resultado de uma vulnerabilidade nos produtos ou serviços da Microsoft. Até o momento, não há evidências de que o agente da ameaça tenha tido qualquer acesso a ambientes de clientes, sistemas de produção, código-fonte ou sistemas de IA. Notificaremos os clientes se alguma ação for necessária. Mas esse ataque destaca o risco contínuo que os agentes de ameaças de estado-nação com bons recursos, como a Midnight Blizzard, representam para todas as organizações.
Como dissemos no final do ano passado, quando anunciamos a Secure Future Initiative (SFI), dada a realidade dos agentes de ameaças que contam com recursos e são financiados por estados-nação, estamos mudando o equilíbrio estabelecido entre segurança e risco corporativo – o tipo tradicional de cálculo simplesmente não é mais suficiente. Para a Microsoft, esse incidente destacou a necessidade urgente de agir ainda mais rápido.
Agiremos imediatamente e aplicaremos nossos padrões de segurança atuais aos sistemas legados e processos de negócios internos de propriedade da Microsoft, mesmo quando essas mudanças puderem causar interrupções nos processos de negócios existentes. Isso provavelmente causará algum nível de interrupção enquanto nos adaptamos a essa nova realidade, mas é uma etapa necessária e apenas a primeira de várias que adotaremos para direcionar essa filosofia.
Continuamos nossa investigação e tomaremos medidas adicionais com base nos resultados, e seguimos trabalhando com as autoridades policiais e os órgãos reguladores apropriados. Estamos profundamente comprometidos em compartilhar mais informações e nossos aprendizados, para que a comunidade possa se beneficiar tanto de nossa experiência quanto das observações sobre o agente da ameaça. Forneceremos mais detalhes como for adequado.”