Imágenes Getty | Imágenes SOPA
Microsoft ampliará el acceso a importantes datos de registro de seguridad después de ser criticado por bloquear registros de auditoría detallados detrás de un plan empresarial de Microsoft 365 que cuesta $ 57 por usuario por mes. Las actualizaciones de registro comenzarán a implementarse “en septiembre de 2023 para todos los clientes gubernamentales y comerciales”, dijo la compañía.
“En los próximos meses, incluiremos acceso a registros de seguridad en la nube más amplios para nuestros clientes en todo el mundo sin costo adicional. A medida que estos cambios entren en vigencia, los clientes pueden usar Auditoría de ámbito de Microsoft para visualizar centralmente más tipos de datos de registro en la nube generados en su empresa”, dijo Microsoft anunciado ayer.
Microsoft Purview Audit Premium está disponible a $57 por usuario Microsoft 365 E5 plan para empresas, así como el plan de educación A5 similar y el plan de gobierno G5. También hay un servicio estándar de auditoría de Purview que viene con
Purview Audit Standard pronto tendrá acceso a funciones que actualmente solo están disponibles en el servicio de auditoría premium, según el anuncio de Microsoft.
“A medida que se implementen nuestros valores predeterminados de registro ampliados, los clientes de Microsoft Purview Audit (Standard) recibirán una visibilidad más profunda de los datos de seguridad, incluidos registros detallados de acceso al correo electrónico y más de otros 30 tipos de datos de registro que anteriormente solo estaban disponibles en el nivel de suscripción de Microsoft Purview Audit (Premium). Además de los nuevos eventos de registro disponibles, Microsoft también está aumentando el período de retención predeterminado para los clientes de Audit Standard de 90 días a 180 días”, dijo Microsoft.
“Seguridad de pago para jugar”
Como escribimos la semana pasada, Microsoft ha enfrentado críticas por restringir el acceso a registros de auditoría detallados, llamándolo “seguridad de pago por jugar”. Los registros avanzados disponibles solo en los planes más caros fueron útiles para detectar infracciones que dieron acceso a cuentas de correo electrónico a un grupo chino de piratas informáticos.
“Si no es un cliente que paga E5, pierde la capacidad de ver que estaba comprometido”, dijo Will Dorman, analista principal senior de Analygence, a Ars.
La Agencia de Seguridad de la Información y Ciberseguridad de los Estados Unidos (CISA) dijo en un aviso de seguridad la semana pasada, una agencia del poder ejecutivo federal descubrió una violación de los datos de Exchange Online “al aprovechar el registro mejorado, específicamente de los eventos MailItemsAccessed, y una línea de base establecida de la actividad normal de Outlook (por ejemplo, AppID esperado)”. Esto “permite la detección de actividades adversarias que de otro modo serían difíciles de detectar”, dijo CISA.
CISA y el FBI incluso dijeron que “alientan encarecidamente a las organizaciones a Habilitar el registro de Purview Audit (Premium)”, al tiempo que reconocen que “el registro requiere una licencia en el nivel G5/E5”.
“CISA y el FBI no tienen conocimiento de otros registros de auditoría o eventos que hayan detectado esta actividad”, dijo el aviso. “Se insta encarecidamente a las organizaciones de infraestructura crítica a implementar las recomendaciones de registro en este aviso para mejorar su postura de seguridad cibernética y posicionarse para detectar actividades maliciosas similares”.
CISA instó a Microsoft a ampliar el acceso
CISA había estado hablando con Microsoft sobre la expansión del acceso a los registros. “CISA y Microsoft han estado trabajando durante los últimos meses para identificar actividades de registro clave para incluir en sus ofertas”, escribió el subdirector ejecutivo de ciberseguridad de CISA, Eric Goldstein, en un comunicado. entrada de blog ayer.
Goldstein dijo que el movimiento de Microsoft “hará que los registros necesarios identificados por CISA y nuestros socios como los más críticos para identificar ataques cibernéticos estén disponibles para los clientes sin costo adicional. Si bien entendemos que tomará tiempo implementar un paso tan importante, este esfuerzo mejorará la defensa cibernética y la respuesta a incidentes para cada cliente de Microsoft”.
Goldstein también criticó el enfoque de hacer que los registros de seguridad sean exclusivos para suscripciones de mayor precio. “Si bien los proveedores pueden ofrecer un acceso de registro más amplio en niveles de licencia de nube específicos, este enfoque dificulta la investigación de intrusiones”, escribió. “Pedir a las organizaciones que paguen más por el registro necesario es una receta para una visibilidad inadecuada en la investigación de incidentes de seguridad cibernética y puede permitir que los adversarios tengan niveles peligrosos de éxito al atacar a las organizaciones estadounidenses”.
Microsoft dijo que su decisión de llevar el registro avanzado a todos los planes comerciales es “el resultado de una estrecha coordinación con los clientes comerciales y gubernamentales, y con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) sobre los tipos de datos de registro de seguridad que Microsoft proporciona a los clientes de la nube para su conocimiento y análisis”.
El registro “los datos juegan un papel importante en la respuesta a incidentes porque proporciona información granular y auditable sobre cómo las diferentes identidades, aplicaciones y dispositivos acceden a los servicios en la nube de un cliente”, dijo Microsoft. “Estos registros en sí mismos no evitan los ataques, pero pueden ser útiles en el análisis forense digital y la respuesta a incidentes al examinar cómo podría haber ocurrido una intrusión, como cuando un atacante se hace pasar por un usuario autorizado”.
Purview Audit Premium aún se diferenciará de Audit Standard al proporcionar “períodos de retención predeterminados más largos y soporte de automatización para importar datos de registro a otras herramientas para análisis”, dijo Microsoft.