Джек М. Жермен
19 мая 2021 года, 5:19 утра по тихоокеанскому времени
Новое исследование угрозы Компания по обнаружению и реагированию показывает, что наиболее распространенные угрозы корпоративным сетям остаются неизменными во всех компаниях, независимо от их размера.
В среду компания Vectra AI выпустила обзорный отчет за второй квартал 2021 года «Видение и прозрачность: 10 основных обнаруженных угроз для Microsoft Azure AD и Office 365». Эти основные средства обнаружения угроз, обнаруженные в Microsoft Azure AD и Office 365, позволяют группам безопасности обнаруживать нечастое поведение, которое является ненормальным или небезопасным в их средах.
Исследователи рассчитали относительную частоту обнаружения угроз, которые были инициированы в течение трехмесячного периода, в зависимости от размера клиента (малого, среднего и крупного). Результаты детализируют 10 основных обнаружений угроз, которые получают клиенты по относительной частоте.
Независимо от размера компании, обнаружение рискованных операций обмена Office 365 было в верхней части списка обнаружений, замеченных всеми клиентами Vectra, или почти всегда. Пользователи облачной безопасности Vectra получают оповещения об аномальном поведении в своих облачных средах, чтобы помочь ратифицировать атаки.
«Развертывание значимого искусственного интеллекта (ИИ) в качестве основы при извлечении информативных данных из вашей сети, как локально, так и за ее пределами, имеет решающее значение для получения преимущества против злоумышленников», — сказал Мэтт Пиклик, старший аналитик-консультант Vectra . «Группы безопасности должны иметь полную видимость для обнаружения потенциально опасной активности в приложениях в режиме реального времени, от конечной точки до сети и облака».
Microsoft Office 365 также вызвал интерес у надвигающихся киберпреступников из-за большая аудитория платформы. Фактически, в ходе недавнего глобального опроса 1112 специалистов по безопасности Vectra обнаружила, как преступники регулярно обходят средства контроля безопасности, включая многофакторную аутентификацию (MFA), доказывая, что решительные злоумышленники все еще могут получить доступ.
Содержание статьи
Подробности отчета
В отчете Vectra это поведение сопоставлено с недавней атакой на цепочку поставок, чтобы продемонстрировать, как субъекты могут уклоняться от превентивных мер контроля, таких как сетевые песочницы, конечные точки и многофакторная аутентификация (MFA). Эта информация может иметь жизненно важное значение для защиты облачного хранилища данных.
Облако продолжает менять все, что касается безопасности, оставляя устаревший подход к защите активов устаревшим. Тем не менее, сбор правильных данных и наличие значимого искусственного интеллекта могут помочь выявить все аспекты атак.
Эти знания позволяют группам безопасности сосредоточиться на угрозах, которые действительно требуют внимания. По словам Vectra, это лучший ответ, чем тратить ценные циклы на благоприятные оповещения.
Обнаружение угроз и реагирование на них проще всего, когда злоумышленники предпринимают явно злонамеренные действия. Но сегодняшняя реальность такова, что злоумышленники все чаще обнаруживают, что в таких открытых действиях нет необходимости, когда существующие услуги и доступ, используемые во всей организации, можно просто кооптировать, злоупотреблять и злоупотреблять.
Крайне важно, чтобы современные защитники сетей решали две проблемы, пытаясь обнаружить и защитить от этих атак, отмечается в отчете. Во-первых, они должны понимать пересечение, которое может существовать между типами действий, которые противник должен будет предпринять для продвижения к своим целям. Во-вторых, они должны распознавать поведение, обычно применяемое авторизованными пользователями на предприятии.
Там, где эти поведения пересекаются, ключевыми факторами, позволяющими отличить злоумышленника и инсайдерскую угрозу от доброжелательного пользователя, являются намерение, контекст и авторизация. Значимый ИИ может обеспечить постоянный анализ того, как пользователи получают доступ, используют и настраивают свои облачные приложения.
Знание того, как осуществляется доступ к вашим хостам, учетным записям и рабочим нагрузкам, может иметь решающее значение.
Для полной защиты облачных и SaaS-данных группам безопасности необходимо постоянно отслеживать внутренних и внешних пользователей, имеющих доступ к данным, включая то, какие сторонние приложения подключены к их облачным и SaaS-средам, — отметил Тим Бах, вице-президент. президент по разработке в AppOmni.
«Короче говоря, организациям следует дополнить своих брокеров безопасности облачного доступа (CASB) инструментом или процессом, который может обнаруживать и контролировать доступ к несетевым данным», — сказал он TechNewsWorld.
Результаты отличаются от предыдущих действий по обнаружению
Наиболее важные открытия, сделанные в исследовании этого года, заключаются в том, сколько возможностей есть у злоумышленников, чтобы перейти в Office 365 или выйти из него для достижения своих конечных целей, согласно Тиму Уэйду, техническому директору группы технического директора Vectra AI. Office 365 может быть плацдармом для превращения в традиционный сетевой ресурс или для хранения ценных данных, предназначенных для кражи.
«По мере того, как все больше организаций переходят от традиционной локальной Active Directory к Azure AD, подозрительное поведение в Azure AD становится все более важным для специалистов по безопасности, чтобы поддерживать прозрачность», — сказал он TechNewsWorld.
В этом году больше внимания уделяется вторжению. Отчасти это связано с большей осведомленностью общественности. Он добавил, что отчасти это результат успешных вторжений, а отчасти — побочный продукт того, что злоумышленники все чаще находят новые способы монетизации своих атак.
10 основных обнаруженных угроз
1. Рискованная операция обмена. Эти действия могут указывать на то, что злоумышленник манипулирует Exchange для получения доступа к определенным данным или дальнейшего развития атаки.
2. Подозрительная операция Azure AD. Эти действия могут указывать на то, что злоумышленники повышают привилегии и выполняют операции на уровне администратора после регулярного перехвата учетной записи.
3. Подозрительные загрузки. Было замечено, что учетная запись загружает необычное количество объектов, что может указывать на то, что злоумышленник использует функции загрузки SharePoint или OneDrive для эксфильтрации данных.
4. Подозрительный обмен данными. Было замечено, что учетная запись обменивается файлами и / или папками на большем объеме, чем обычно, что может указывать на то, что злоумышленник использует SharePoint для эксфильтрации данных или сохранения доступа после исправления первоначального доступа.
5. Создание избыточного доступа в Azure AD. Административные привилегии были назначены объекту, что может указывать на то, что злоумышленник создает избыточный доступ для защиты от исправлений.
6. Доступ к внешним командам. В команду в Teams была добавлена внешняя учетная запись, что может указывать на то, что злоумышленник добавил учетную запись под их контролем.
7. Подозрительная система Power Automate Flow Creation. Наблюдалось ненормальное создание Power Automate Flow, которое может указывать на то, что злоумышленник настраивает механизм сохранения.
8. Подозрительная пересылка почты. Пересылка почты, которая может использоваться в качестве канала сбора или эксфильтрации без необходимости поддерживать постоянство.
9. Необычный поиск eDiscovery. Пользователь создает или обновляет поиск eDiscovery, который может указывать на то, что злоумышленник получил доступ к возможностям eDiscovery и теперь выполняет разведку.
10. Подозрительная операция SharePoint. Ненормальные административные операции SharePoint, которые могут быть связаны со злонамеренными действиями.
Шаги по смягчению
Решение проблем, которые организации продолжают видеть от киберпреступников, включает понимание поведения, на которое злоумышленники мотивированы. «Это означает наличие возможности собирать и агрегировать данные, раскрывающие такое поведение, таким образом, чтобы сотрудники службы безопасности могли использовать их», — отметил Питлик
.
Vectra сообщает, что ее Cognito Detect для Office 365 и Azure AD автоматически обнаруживает скрытое поведение кибератак и реагирует на них. Это решение ускоряет расследование инцидентов и обеспечивает упреждающий поиск угроз. Приложение обеспечивает видимость Power Automate, Teams, eDiscovery, Compliance Search, серверной части Azure AD, Exchange, SharePoint и сторонних поставщиков SaaS.
Управление состоянием облачной безопасности (CSPM) — важная задача, — предположил Вишал Джайн, соучредитель и технический директор Valtix. Как только предприятия узнают о своих пробелах в безопасности, им необходимо настроить точки управления и политики безопасности автоматически и в соответствующих местах, чтобы еще больше улучшить состояние облачной безопасности.
«Очень желательно, чтобы этот двухэтапный процесс был автоматизирован в рамках единого рабочего процесса», — сказал он TechNewsWorld. 
