След Storm-0558: Microsoft чисти облака си

Атаката на китайската група Storm-0558 от лятото на 2023 г. продължава да има последствия. Макар компрометираният достъп вече да е спрян, Microsoft предприема мащабни действия, за да укрепи сигурността в Azure.

Масово изчистване на тенанти

Компанията е започнала чистка на неактивни Azure тенанти – акаунти, които не са използвани дълго време (без да е уточнено колко е това време). Мярката има за цел да намали повърхността за атаки и да отстрани потенциално рискови структури.

Много от тези тенанти са били създадени автоматично или от стари тестови среди. В постмортем анализа на атаката Microsoft отчита, че такива „забравени“ акаунти са улеснявали атакуващите.

Преход към по-сигурна инфраструктура

Microsoft променя основни елементи на своята облачна архитектура. Сред приоритетите:

• Миграция към Entra ID (бивш Azure AD) като централизирана идентичност

• Подобрения в системите за подписване и проверка на токени

• Повече вътрешни логове и валидиране на ключове

Компанията също така ограничава вътрешния достъп до системи, които генерират токени за автентикация — ключов компонент в експлоатацията от Storm-0558.

Уроци и значение

Случаят подчертава колко трудно е да се осигури доверие в мащабна облачна среда. Дори без пробив в милиони акаунти, самото наличие на слабост в инфраструктурата изисква сериозна реакция.

За потребителите и организациите в България, които използват Azure, това означава промени в начина на работа – включително преминаване към Entra ID, ревизия на съществуващи тенанти и евентуално по-строги изисквания от Microsoft в бъдеще.