Trong một diễn biến đáng lo ngại về bảo mật đám mây, Microsoft đã tiết lộ việc mất một lượng lớn nhật ký bảo mật cho nhiều sản phẩm đám mây của họ, có khả năng ảnh hưởng đến khả năng phát hiện và ứng phó với các mối đe dọa bảo mật của khách hàng.
Sự cố
Microsoft gần đây đã thông báo cho các khách hàng bị ảnh hưởng về việc mất hơn hai tuần dữ liệu nhật ký bảo mật cho một số sản phẩm đám mây do lỗi trong một agent giám sát nội bộ. Sự cố xảy ra từ ngày 2 đến ngày 19 tháng 9, để lại một khoảng trống quan trọng trong dữ liệu bảo mật.
Các dịch vụ bị ảnh hưởng
Các sản phẩm bị ảnh hưởng bao gồm:
- Microsoft Entra (trước đây là Azure Active Directory)
- Sentinel
- Defender for Cloud
- Purview
Danh sách này bao gồm các dịch vụ bảo mật và quản lý định danh quan trọng, gây ra những lo ngại nghiêm trọng về tác động tiềm ẩn đến tình trạng bảo mật của khách hàng.
Tác động đối với khách hàng
Việc mất các nhật ký này có thể gây cản trở đáng kể đến khả năng của khách hàng trong việc:
- Phân tích dữ liệu liên quan đến bảo mật
- Phát hiện các mối đe dọa tiềm ẩn
- Tạo cảnh báo bảo mật
Đối với nhiều tổ chức, khoảng thời gian hai tuần không có dữ liệu này có thể gây khó khăn trong việc xác định các truy cập trái phép hoặc các sự cố bảo mật khác có thể đã xảy ra trong thời gian này.
Phản hồi từ Microsoft
Microsoft đã khẳng định rằng sự cố không phải do vấn đề bảo mật và chỉ ảnh hưởng đến việc thu thập dữ liệu nhật ký. John Sheehan, Phó Chủ tịch của Microsoft, xác nhận rằng vấn đề đã được khắc phục bằng cách hoàn tác một thay đổi dịch vụ. Công ty cam kết sẽ hỗ trợ các khách hàng bị ảnh hưởng khi cần thiết.
Bối cảnh rộng hơn và mối lo ngại
Sự cố này xảy ra vào thời điểm nhạy cảm đối với Microsoft, sau khi công ty bị chỉ trích năm ngoái vì giữ lại nhật ký bảo mật từ một số cơ quan chính phủ Hoa Kỳ. Những nhật ký đó có thể đã giúp phát hiện sớm các xâm nhập được hậu thuẫn bởi Trung Quốc.
Thời điểm của sự cố này đặc biệt không thuận lợi, khi Microsoft vừa mới công bố kế hoạch cung cấp nhật ký toàn diện hơn cho các tài khoản đám mây cấp thấp hơn bắt đầu từ tháng 9 năm 2023.
Phản ứng từ ngành công nghiệp
Cộng đồng an ninh mạng đã bày tỏ lo ngại về sự cố này, với một số chuyên gia nhấn mạnh tính chất quan trọng của các dịch vụ bị ảnh hưởng, đặc biệt là Microsoft Entra. Ví dụ, việc mất nhật ký Single Sign-On (SSO) có thể để lại một khoảng trống đáng kể trong việc giám sát bảo mật cho nhiều tổ chức.
Hướng phát triển
Khi các dịch vụ đám mây ngày càng trở nên quan trọng đối với hoạt động kinh doanh và chức năng của chính phủ, những sự cố như thế này nhấn mạnh nhu cầu về các phương thức ghi nhật ký và giám sát mạnh mẽ. Chúng cũng đặt ra câu hỏi về độ tin cậy của các nhà cung cấp đám mây trong việc duy trì dữ liệu bảo mật quan trọng.
Đối với Microsoft, sự cố này có thể dẫn đến việc tăng cường giám sát các thực hành bảo mật đám mây và có thể ảnh hưởng đến niềm tin của khách hàng. Vẫn còn phải xem cách công ty sẽ giải quyết những lo ngại này và tăng cường cơ sở hạ tầng ghi nhật ký để ngăn chặn các sự cố tương tự trong tương lai.