SolarWinds, Microsoft, FireEye, CrowdStrike apără acțiunile în cazurile grave de piraterie

Executivi de vârf ai companiei de software SolarWinds Corp din Texas, Microsoft Corp și firmele de securitate cibernetică FireEye Inc și CrowdStrike Holdings Inc și-au apărat comportamentul în încălcări posibil cauzate de hackeri ruși și au căutat să-și mute responsabilitatea în altă parte, într-o mărturie către un comitet al Senatului SUA.

Unul dintre cele mai grave hackuri descoperite până acum a avut un impact asupra tuturor celor patru. Programele SolarWinds și Microsoft au fost folosite pentru a ataca pe alții, iar hack-ul a lovit aproximativ 100 de companii americane și nouă agenții federale.

Parlamentarii au început audierea criticând reprezentanții Amazon, despre care au spus că au fost invitați să depună mărturie și ale căror servere au fost folosite pentru a lansa atacul cibernetic, pentru că au refuzat să participe la audiere.

“Cred că au obligația de a coopera cu această anchetă și sper că vor face acest lucru în mod voluntar”, a declarat senatorul Susan Collins, republican. „Dacă nu o fac, cred că ar trebui să ne uităm la următorii pași”.
Executivii au susținut o mai mare transparență și schimb de informații cu privire la încălcări, cu protecție a răspunderii și un sistem care nu îi pedepsește pe cei care se prezintă, similar cu investigațiile în caz de dezastru ale companiilor aeriene.

Președintele Microsoft, Brad Smith și alții, au declarat Comitetului selectiv pentru informații din Senatul SUA că adevăratul domeniu al ultimelor intruziuni este încă necunoscut, deoarece majoritatea victimelor nu au obligația legală să dezvăluie atacurile decât dacă implică informații sensibile despre persoane.

Au depus mărturie și directorul executiv al FireEye, Kevin Mandia, a cărui companie a fost prima care a descoperit hackerii, directorul executiv al SolarWinds, Sudhakar Ramakrishna, al cărui software al companiei a fost deturnat de spioni pentru a ajunge la o serie de alte organizații, și directorul executiv al CrowdStrike, George Kurtz, a cărui companie ajută SolarWinds să se recupereze din breșă.
„Este imperativ pentru națiune să încurajăm și uneori chiar să efectuăm schimb de informații despre atacurile cibernetice”, a spus Smith.

Smith a spus că multe tehnici utilizate de hackeri nu au ieșit la iveală și că „atacatorul ar fi putut folosi până la doisprezece mijloace diferite de a intra în rețelele victimelor în ultimul an”.

Microsoft a dezvăluit săptămâna trecută că hackerii au fost capabili să citească codul sursă protejat cu atenție al companiei pentru modul în care programele sale autentifică utilizatorii. La multe dintre victime, hackerii au manipulat aceste programe pentru a accesa noi zone din interiorul țintelor lor.
Smith a subliniat că o astfel de mișcare nu s-a datorat erorilor de programare din partea Microsoft, ci în configurații slabe și alte controale din partea clientului, inclusiv cazuri „în care cheile seifului și mașina au fost lăsate în aer liber”.

În cazul lui CrowdStrike, hackerii au folosit un furnizor terț de software Microsoft, care avea acces la sistemele CrowdStrike și a încercat, dar nu a reușit să intre în e-mailul companiei.

Kurtz, de la CrowdStrike, a dat vina pe Microsoft pentru arhitectura sa complicată, pe care a numit-o „învechită”.
„Actorul de amenințare a profitat de slăbiciunile sistemice din arhitectura de autentificare Windows, permițându-i să se deplaseze lateral în rețea” și să ajungă la mediul cloud, ocolind în același timp autentificarea multifactorială, se spune în declarația pregătită a lui Kurtz.

În cazul în care Smith a făcut apel la ajutor guvernamental pentru furnizarea de instrucțiuni de remediere pentru utilizatorii de cloud, Kurtz a spus că Microsoft ar trebui să se uite în propria ogradă și să rezolve problemele cu Active Directory și Azure utilizate pe scară largă.

„În cazul în care Microsoft abordează limitările arhitecturii de autentificare în jurul Active Directory și Azure Active Directory sau se trece complet la o metodologie diferită, un vector de amenințare considerabil ar fi complet eliminat de pe una dintre cele mai utilizate platforme de autentificare din lume”, a spus Kurtz.

Alex Stamos, fost șef de securitate Facebook și Yahoo care se consultă acum pentru SolarWinds, a fost de acord cu Microsoft că, clienții care își împart resursele între propriile sedii și cloud-ul Microsoft sunt în special expuși riscului, deoarece hackerii calificați se pot deplasa înainte și înapoi și ar trebui să se deplaseze în întregime către Cloud.

Însă el a adăugat într-un interviu: „De asemenea, este prea greu să rulezi în siguranță (software cloud) Azure ID, iar complexitatea produsului creează numeroase oportunități pentru atacatori de a escalada privilegiile sau de a ascunde accesul”.

Citeste continuarea aici: SolarWinds, Microsoft, FireEye, CrowdStrike apără acțiunile în cazurile grave de piraterie

Citește și