Kompanija Microsoft je uspješno uklonila ranjivosti visokog nivoa privilegija u cijelom svom ekosistemu Microsoft 365, kao dio svoje sveobuhvatne Inicijative za siguranu budućnost, što predstavlja značajnu prekretnicu u arhitekturi korporativne sigurnosti.
Zamjenik glavnog službenika za informacijsku sigurnost za iskustva i uređaje u tehnološkom gigantu, Naresh Kannan, objavio je da je kompanija ublažila preko 1.000 scenarija aplikacija s visokim nivoom privilegija kroz sistematičan pristup koji daje prednost principima najmanjih privilegija.
Pristup s visokim nivoom privilegija predstavlja kritičnu sigurnosnu ranjivost gdje aplikacije ili usluge stiču širok pristup korisničkom sadržaju, omogućavajući im da se lažno predstavljaju kao korisnici bez odgovarajućeg konteksta autentifikacije.
Ovaj arhitektonski nedostatak stvara značajne sigurnosne rizike tokom kompromitovanja usluga, pogrešnog rukovanja vjerodajnicama ili incidenata izlaganja tokena. Eliminacija ovih obrazaca pristupa zahtijevala je od Microsofta da fundamentalno ponovo osmisli način na koji njegove aplikacije međusobno djeluju unutar ekosistema Microsoft 365.
Analitičari Microsoft Networks Labs identifikovali su da su tradicionalni protokoli autentifikacije od usluge do usluge stvarali nepotrebno izlaganje sigurnosti širom platforme.
Inicijativa je proizašla iz stava “pretpostavi kompromitovanje”, prepoznajući da bi pretjerano privilegovan pristup mogao pojačati uticaj potencijalnih sigurnosnih incidenata na cijelu infrastrukturu Microsofta 365.
Proces eliminacije uključivao je sveobuhvatan pristup u tri faze koji je zahtijevao opsežno ponovno inženjerstvo postojećih sistema.
Sigurnosni tim Microsofta proveo je iscrpne revizije svih aplikacija Microsofta 365 i njihovih interakcija od usluge do usluge s provajderima resursa širom tehnološkog steka.
Ova analiza otkrila je brojne slučajeve gdje su aplikacije zadržavale pretjerana ovlaštenja izvan svojih operativnih zahtjeva.
Faza implementacije fokusirala se na ukidanje naslijeđenih protokola autentifikacije koji su inherentno podržavali obrasce pristupa s visokim nivoom privilegija.
Microsoft je ubrzao primjenu novih sigurnih protokola autentifikacije, osiguravajući da sve interakcije od usluge do usluge rade unutar minimalnog obima privilegija potrebnog za njihove namijenjene funkcije.
Na primjer, aplikacije koje zahtijevaju pristup određenim lokacijama na SharePointu sada dobijaju precizne dozvole “Sites.Selected” umjesto širih dozvola “Sites.Read.All”.
Ovaj monumentalni napor uključio je preko 200 inženjera iz različitih timova proizvoda Microsofta, demonstrirajući posvećenost kompanije sveobuhvatnoj sigurnosnoj transformaciji.
Inicijativa je takođe uključila implementaciju standardizovanih sistema nadzora kako bi se identifikovao i prijavio svaki preostali pristup s visokim nivoom privilegija unutar aplikacija Microsofta 365, osiguravajući kontinuiranu usklađenost s novim sigurnosnim standardima.
