ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เรียกแนวทางปฏิบัติด้านความปลอดภัยของ Microsoft ว่า “ขาดความรับผิดชอบอย่างร้ายแรง”

การจัดการช่องโหว่ด้านความปลอดภัยของ Microsoft ได้รับการวิพากษ์วิจารณ์จากผู้เชี่ยวชาญด้านความปลอดภัย Amit Yoran ซีอีโอของบริษัท Tenable ด้านความปลอดภัยทางไซเบอร์ Yoran โต้แย้งว่า Microsoft ขาดความโปร่งใสและความพยายามเพียงเล็กน้อยของบริษัทที่ใช้กับการจัดการช่องโหว่ด้านความปลอดภัยที่ค้นพบ ทำให้ลูกค้าของพวกเขาเสี่ยงต่อความเสี่ยงที่พวกเขาจงใจปกปิดไว้

Tenable ซึ่งเป็นบริษัทด้านความปลอดภัยในบัลติมอร์ได้ค้นพบ และได้รายงานปัญหาการเข้าถึง แอปพลิเคชันข้ามผู้เช่าใน Azure ไปยัง Microsoft ในเดือนมีนาคมโดยไม่ได้รับอนุญาต ปัญหานี้หากนำไปใช้อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ทีมรักษาความปลอดภัยของ Tenable สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนซึ่งเชื่อมโยงกับสถาบันการเงินที่ไม่เปิดเผยในระหว่างช่วงการค้นพบ

อย่างไรก็ตาม Microsoft ใช้เวลากว่าสามเดือนในการแก้ไขปัญหาเพียงบางส่วน ตามข้อมูลของ Yoran เขากล่าวว่าการแก้ไขบางส่วนของ Microsoft ยังไม่เพียงพอ และในกรณีของแอปพลิเคชันรุ่นเก่า เช่น สถาบันการเงินที่กล่าวถึง องค์กรหลายแห่งยังคงมีความเสี่ยงที่จะถูกละเมิดข้อมูลอย่างร้ายแรง Yoran วิจารณ์อย่างมากต่อการจัดการปัญหาของ Microsoft และเรียกมันว่า”ไร้ความรับผิดชอบอย่างร้ายแรง”

“นั่นหมายความว่า ณ วันนี้ ธนาคารที่ฉันอ้างถึงข้างต้นยังคงมีช่องโหว่ ซึ่งนานกว่า 120 วันแล้วนับตั้งแต่ที่เรารายงานปัญหานี้ เช่นเดียวกับองค์กรอื่นๆ ทั้งหมดที่เปิดตัวบริการ ก่อนที่จะทำการแก้ไข และเท่าที่เราทราบ พวกเขายังคงไม่รู้ว่าพวกเขามีความเสี่ยง ดังนั้นจึงไม่สามารถตัดสินใจอย่างชาญฉลาดเกี่ยวกับการชดเชยการควบคุมและการดำเนินการลดความเสี่ยงอื่นๆ Microsoft อ้างว่าพวกเขาจะแก้ไขปัญหาโดย สิ้นเดือนกันยายน สี่เดือนหลังจากที่เราแจ้งพวกเขา นั่นถือว่าขาดความรับผิดชอบอย่างร้ายแรง หากไม่ใช่การประมาทเลินเล่ออย่างโจ่งแจ้ง เราทราบเกี่ยวกับปัญหา Microsoft ทราบเกี่ยวกับปัญหา และหวังว่าผู้คุกคามจะไม่ทำเช่นนั้น

ผู้ให้บริการระบบคลาวด์ ใช้รูปแบบความรับผิดชอบร่วมกันมาอย่างยาวนาน โมเดลดังกล่าวจะใช้งานไม่ได้หากผู้ให้บริการระบบคลาวด์ของคุณไม่แจ้งให้คุณทราบเกี่ยวกับปัญหาที่เกิดขึ้นและใช้การแก้ไขอย่างเปิดเผย

สิ่งที่คุณได้ยินจาก Microsoft คือ”แค่ไว้วางใจเรา”แต่สิ่งที่คุณได้รับกลับมาคือความโปร่งใสน้อยมากและวัฒนธรรมที่ก่อให้เกิดความยุ่งเหยิงที่เป็นพิษ CISO คณะกรรมการบริหารหรือทีมผู้บริหารจะเชื่อได้อย่างไรว่า Microsoft จะ ทำสิ่งที่ถูกต้องตามรูปแบบข้อเท็จจริงและพฤติกรรมปัจจุบันหรือไม่ ประวัติของ Microsoft ทำให้เราทุกคนตกอยู่ในความเสี่ยง และมันแย่กว่าที่เราคิด”

การตอบสนองของ Microsoft ต่อช่องโหว่ด้านความปลอดภัย

Microsoft ปกป้องการจัดการช่องโหว่ด้านความปลอดภัย โดยระบุว่าเป็นไปตาม”กระบวนการที่ครอบคลุมซึ่งเกี่ยวข้องกับการตรวจสอบอย่างละเอียด อัปเดตการพัฒนาสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบทุกรุ่น และการทดสอบความเข้ากันได้ระหว่างระบบปฏิบัติการและแอปพลิเคชันอื่นๆ”บริษัทเน้นย้ำถึง ความสมดุลที่ละเอียดอ่อนระหว่างความทันเวลาและคุณภาพ ในขณะเดียวกันก็รับประกันการปกป้องลูกค้าสูงสุดโดยลดการหยุดชะงักของลูกค้าให้น้อยที่สุด

อย่างไรก็ตาม Yoran พบว่าตารางเวลาของ Microsoft สำหรับการเปิดตัวการแก้ไขที่ครอบคลุมภายในสิ้นเดือนกันยายน”ประมาทเลินเล่ออย่างโจ่งแจ้ง”เขาวิจารณ์วัฒนธรรมของไมโครซอฟต์ในเรื่อง “ความยุ่งเหยิงที่เป็นพิษ” และการขาดความโปร่งใส โดยให้เหตุผลว่าสิ่งนี้ทำให้พวกเราทุกคนตกอยู่ในความเสี่ยง

การประณามต่อสาธารณะและการเรียกร้องความรับผิดชอบ

คำวิจารณ์เกี่ยวกับการจัดการปัญหาด้านความปลอดภัยของ Microsoft นี้เกิดขึ้นหลังจากที่วุฒิสมาชิกสหรัฐฯ Ron Wyden แห่งรัฐ Oregon ประณามบริษัทเมื่อสัปดาห์ที่แล้ว Wyden ร้องขอให้ Merrick Garland อัยการสูงสุด, Lina Khan ประธานคณะกรรมาธิการการค้าแห่งสหพันธรัฐ และผู้อำนวยการหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน Jen Easterly”ดำเนินการ”กับ Microsoft เกี่ยวกับการจัดการที่ผิดพลาดในการโจมตีหน่วยสืบราชการลับของจีน SolarWinds ต่อรัฐบาลสหรัฐฯในปี 2020 และ 2021

ผลิตภัณฑ์ของ Microsoft คิดเป็น 42.5% ของทั้งหมด ค้นพบวันศูนย์ทั้งหมดตั้งแต่ปี 2014 ตามข้อมูลจาก Google Project Zero สิ่งนี้ประกอบกับการขาดความโปร่งใสและความรับผิดชอบของ Microsoft ในแนวทางปฏิบัติด้านความปลอดภัย ทำให้มีการตรวจสอบข้อเท็จจริงเพิ่มขึ้นและเรียกร้องให้มีการเปลี่ยนแปลง