Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Práticas de vulnerabilidade da Microsoft colocam clientes em risco

Amit Yoran*
19/06/2022

A falta de transparência na segurança cibernética nos coloca em perigo. Com mais de 25 anos de experiência no assunto e reputação para publicar e falar francamente, acho que este é um tema muito importante para permanecer em silêncio. Só posso imaginar quantos profissionais de segurança e pesquisadores são silenciados por advogados ou não têm a plataforma para fazer suas vozes serem ouvidas. 

Como você pode imaginar, a Tenable é especialista em pesquisa de vulnerabilidades e, ao longo de um ano, podemos trabalhar com mais de cem fornecedores de software para identificar e lidar com novas brechas de segurança. Em março, descobrimos duas vulnerabilidades (uma das quais consideramos críticas) na plataforma Azure da Microsoft.

Ambas as vulnerabilidades eram exploráveis por qualquer pessoa que utilizasse o serviço Azure Synapse. Depois de avaliar a situação, a Microsoft decidiu resolver discretamente um dos problemas, minimizando o risco. Foi só quando lhes disseram que seria tornado público, que o discurso deles mudou… 89 dias após a notificação inicial da vulnerabilidade, quando reconheceram na prática a gravidade do problema de segurança. Até o momento, os clientes da Microsoft não foram notificados.

Este é um padrão de comportamento que se repete. Várias empresas de segurança escreveram sobre suas interações de notificação de violação com a Microsoft e a atitude desrespeitosa da companhia sobre o risco que as vulnerabilidades representam para seus clientes. Orca Security, Wiz, Positive Security e Fortinet publicaram exemplos proeminentes, com este último cobrindo o desastre de segurança conhecido como “Follina”. 

Para um provedor de infraestrutura de TI ou provedor de serviços em nuvem que não é transparente, as apostas são exponencialmente altas. Se não for relatado a tempo e em detalhes, os clientes não têm uma ideia se foram, ou estão, vulneráveis a um ataque… ou se foram vítimas de um ataque antes da vulnerabilidade ser corrigida. E não notificar os clientes nega a eles a oportunidade de buscar evidências de que eles estavam ou não envolvidos, uma política altamente irresponsável.

A FireEye/Mandiant forneceu um modelo exemplar de divulgação responsável quando a empresa divulgou sua violação, mesmo antes dos testes forenses que resultaram nas revelações do SolarWinds de 2020.

A resposta não pode ser apenas pedir aos fornecedores que façam melhor. É essencial exigir dos provedores de nuvem ou tecnologia um nível de atenção e transparência. A auditoria e avaliação independentes da infraestrutura de TI e dos provedores de serviços em nuvem devem ser obrigatórias.

A raposa vigia o galinheiro. Confie, mas verifique. As lições simples que aprendemos desde pequenos ainda são aplicáveis no campo cibernético.

*Amit Yoran é CEO da Tenable.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)