SolarWinds, Microsoft, FireEye, CrowdStrike защищают действия при серьезном взломе — слушания в Сенате США

Рафаэль Саттер и Джозеф Менн

ВАШИНГТОН (Рейтер) — Руководители техасской компании-разработчика программного обеспечения SolarWinds Corp, Microsoft Corp (NASDAQ: MSFT) и фирм по кибербезопасности FireEye (NASDAQ: FEYE) Inc и CrowdStrike Holdings (NASDAQ: CRWD) Inc защищали свое поведение, обвиняя Россию хакеры и попытались переложить ответственность на другое место в показаниях комиссии Сената США во вторник.

Все четверо стали жертвами одного из самых серьезных взломов, когда-либо обнаруженных, затронувших около 100 американских компаний и девять федеральных агентств. Программы SolarWinds и Microsoft использовались для атак на других.

Руководители выступали за большую прозрачность и обмен информацией о нарушениях, с защитой ответственности и системой, которая не наказывает тех, кто выступает, подобно расследованиям авиакатастроф.

Президент Microsoft Брэд Смит и другие заявили Специальному комитету Сената США по разведке, что истинный масштаб последних вторжений все еще неизвестен, потому что большинство жертв по закону не обязаны раскрывать атаки, если они не связаны с конфиденциальной информацией о людях.

Также свидетельствовали генеральный директор FireEye Кевин Мандиа, компания которого первой обнаружила хакеров, главный исполнительный директор SolarWinds Судхакар Рамакришна, программное обеспечение компании которого было взломано шпионами для взлома множества других организаций, и генеральный директор CrowdStrike Джордж Курц, чья компания помогает SolarWinds восстановиться после взлома.

«Для страны крайне важно, чтобы мы поощряли кибератаки, а иногда даже требовали лучшего обмена информацией, — сказал Смит.

Смит сказал, что многие методы, используемые хакерами, не раскрыты, и что «злоумышленник, возможно, использовал до дюжины различных средств проникновения в сети жертв в течение прошлого года».

На прошлой неделе Microsoft сообщила, что хакеры смогли прочитать тщательно охраняемый исходный код компании, чтобы узнать, как ее программы аутентифицируют пользователей. У многих жертв хакеры манипулировали этими программами, чтобы получить доступ к новым областям внутри своих целей.

Смит подчеркнул, что такое перемещение произошло не из-за ошибок программирования со стороны Microsoft, а из-за плохой конфигурации и других элементов управления со стороны заказчика, включая случаи, «когда ключи от сейфа и автомобиля оставались открытыми».

В случае CrowdStrike хакеры использовали стороннего поставщика программного обеспечения Microsoft, у которого был доступ к системам CrowdStrike, и попытались, но не смогли получить доступ к электронной почте компании.

Курц из CrowdStrike обвинил Microsoft в ее сложной архитектуре, которую он назвал «устаревшей».

«Злоумышленник воспользовался системными слабостями в архитектуре аутентификации Windows, позволяя ему перемещаться в пределах сети» и достигать облачной среды, минуя многофакторную аутентификацию, — говорится в подготовленном заявлении Курца.

Когда Смит обратился за помощью к правительству в предоставлении инструкций по исправлению ситуации для пользователей облака, Курц сказал, что Microsoft должна обратиться к себе самому и исправить проблемы с широко используемыми Active Directory и Azure.

«Если Microsoft устранит ограничения архитектуры аутентификации, связанные с Active Directory и Azure Active Directory, или полностью перейдет на другую методологию, значительный вектор угроз будет полностью устранен с одной из наиболее широко используемых в мире платформ аутентификации», — сказал Курц.

Алекс Стамос, бывший руководитель службы безопасности Facebook (NASDAQ: FB) и Yahoo, сейчас консультирующий SolarWinds, согласился с Microsoft, что клиенты, которые делят свои ресурсы между собственными помещениями и облаком Microsoft, особенно подвержены риску, поскольку опытные хакеры могут перемещаться туда и обратно. и должен полностью перейти в облако.

Но он добавил в интервью: «Также слишком сложно безопасно запустить (облачное программное обеспечение) Azure ID, а сложность продукта создает множество возможностей для злоумышленников для повышения привилегий или сокрытия доступа».