In unserer neuesten Version haben wir eine neue Erkennungsfunktion namens Azure AD Privilege Operation Anomaly integriert, um die Übernahme von Konten in Azure AD zu verhindern. Dieser KI-Algorithmus wurde speziell entwickelt, um zu erkennen, wenn Angreifer sich im Azure AD-Tenant bewegen, um Persistenz zu erlangen, ihre Reichweite zu vergrößern oder Maßnahmen zu ergreifen, um die Erkennung zu umgehen.
In letzter Zeit haben wir eine Zunahme von Angreifern beobachtet, die ihre Fähigkeit verbessert haben, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, um legitime Benutzerkonten zu infiltrieren. Angreifer nutzen ihre Fähigkeiten und zielen auf Azure AD ab, um Zugang zu geschäftskritischen SaaS-Anwendungen zu erhalten, von Customer Relationship Management (CRM) über cloud Datenspeicherung bis hin zur vollen Funktionalität von Office 365. Sobald ein Konto kompromittiert ist, agieren die Angreifer innerhalb der Umgebung, um Daten zu stehlen und Lösegeld zu erpressen. Und da der Angriff ein vertrauenswürdiges Konto ausnutzt, scheinen all diese Aktionen laut cloud access security broker (CASB)-Software in vollem Einklang zu stehen.
Dies zeigt, warum die fortschrittliche Erkennung und Reaktion in Azure AD und Office 365 so wichtig ist: Sie ermöglicht es den Teams, alarmiert zu werden, sobald ein Angriff beginnt, und bereits mit vollständigem Wissen über die Aktionen des Angreifers ausgestattet zu sein, so dass die Angreifer gestoppt werden können, bevor sie ihre Ziele erreichen.
Die neue Vectra Cognito Azure AD Privilege Anomaly ist ein radikaler Schritt nach vorne bei der Erkennung von Account Takeover Events. Vor allem kann sie erkennen, wenn ein Konto kompromittiert wurde und beginnt, seine Privilegien zu missbrauchen, um Angreifern erweiterten Zugriff zu gewähren. Die Warnung deckt das gesamte Spektrum der Azure AD-Aktionen ab, die Angreifer durchführen, einschließlich der Erhöhung von Benutzerprivilegien, Modifikationen von Anwendungsberechtigungen und Änderungen an Tenant-Zugriffskontrollen.
Wir haben diese umfassende Abdeckung erreicht, indem wir KI eingesetzt haben, um über einfache Signaturen oder Regeln hinauszugehen. Vectra lernt passiv das genaue Mindestmaß an Berechtigungen, die Konten in Azure AD tagtäglich nutzen. Diese "beobachtete Berechtigung" bietet eine genauere Darstellung der operativen Berechtigungen der Konten als die in Azure AD vorgeschriebenen.
Das erlernte "Observed Privilege" ist für jeden Tenant einzigartig und wird für jedes Konto und alle mehr als 100 verschiedenen Azure AD-Operationen identifiziert. Vectra wendet diese "Observed Privilege"-Linse an, um jede in Azure AD durchgeführte Aktion zu prüfen und zu erkennen, wenn ein Konto kompromittiert ist und seine Berechtigung missbraucht.
Vectra kann Angreifer identifizieren und stoppen, die in Ihrer Microsoft Office 365-Umgebung sowie in jeder föderierten SaaS-Anwendung mit Azure AD operieren. Wir wissen, dass Angreifer nicht in Silos operieren. Deshalb verfolgt Vectra Anzeichen für das Verhalten von Angreifern im gesamten Unternehmen, in hybriden Umgebungen, Rechenzentren, IaaS und SaaS - und das alles von einem einzigen Kontrollpunkt aus.
Wenn Sie mehr über Vectra erfahren möchten, nehmen Sie bitte Kontakt mit uns auf!