Entmystifizierung fortgeschrittener Microsoft Cloud Angriffe

1. März 2022

Zum ersten Mal wurden Cyberwaffen in Verbindung mit kinetischen Waffen eingesetzt, als die Spannungen zwischen der Ukraine und Russland zu einem heißen Konflikt überkochten.Eine wichtige Erkenntnis ist, dass Organisationen, die in der Vergangenheit das Gefühl hatten, sie seien nur das Ziel opportunistischer Krimineller, sich nun mit einem motivierten nationalstaatlichen Akteur konfrontiert sehen. 

Vectra hat es sich zur Aufgabe gemacht, die Welt sicherer und gerechter zu machen.Und wir haben Erfahrung mit dem Schutz von Organisationen vor staatlichen Akteuren.Wenn Ihre Organisation aufgrund dieses Konflikts angegriffen wird, helfen wir Ihnen kostenlos. 

Als Anzahlung auf dieses Versprechen möchten wir ein wenig von dem weitergeben, was wir gelernt haben. 

Lehren aus 2 Jahren Schutz von Azure AD und Microsoft 365-Diensten vor staatlichen Akteuren

Im Dezember 2020 veröffentlichte die Nationale Sicherheitsbehörde (NSA) eine der wichtigsten Cybersicherheitsanweisungen des letzten Jahrzehnts. Darin wurde dargelegt, wie nationalstaatliche Akteure Wege gefunden hatten, föderierte Identitäten zu missbrauchen, um privilegierten Zugang zu sensiblen Informationen zu erlangen und auch Standard-Nutzeridentitäten zu ihrem Vorteil zu manipulieren. In diesem Monat warnte das Heimatschutzministerium die Welt davor, dass Identitätskompromittierungen dazu genutzt werden, den Betrieb von US-Verteidigungsunternehmen zu stören, um deren globale Operationen zu unterstützen. 

Für Sicherheitsteams in Unternehmen, die sich auf Microsofts cloud Services für Identität, Messaging und Zusammenarbeit mit der M365 SaaS-Infrastruktur verlassen, gibt es hier einige schnelle Tipps, um Ihr Unternehmen vor raffinierten Angriffen zu schützen. 

Überwachen Sie die Integrität von Service-Principal-Konten in Ihrem M365-Tenant - Viele Unternehmen verlassen sich auf Service-Principal-Konten für Hybrid-Computing-Workloads, die zwischen lokalen Systemen und dem Microsoft cloud betrieben werden. Es ist von entscheidender Bedeutung, dass kompensierende Kontrollen verwendet werden, um diese Konten zu härten, um die Wahrscheinlichkeit ihres Missbrauchs zu verringern und auch die Prüfung und Protokollierung für jede einzelne Aktivität zu optimieren, die diese Konten betrifft. 
Überwachen Sie die Integrität von Multi-Faktor-Authentifizierung für Benutzer mit erhöhten Rechten - Richtlinien für den bedingten Zugriff werden in der Regel eingesetzt, um die Verwendung von privilegierten Identitäten innerhalb von Microsoft cloud zu kontrollieren. Leider können Angreifer die Konfigurationsoptionen manipulieren, um die Wirksamkeit von MFA zu verringern. Wenn beispielsweise ein privilegiertes Konto aktiviert ist, um Legacy-Authentifizierungsprotokolle für PowerShell zuzulassen, wird MFA im Wesentlichen umgangen. 
Überwachen Sie die Integrität mobiler Geräte, die für Authenticator-Autorisierungen verwendet werden - Bei einer kürzlich durchgeführten Bewertung eines Unternehmens, das sich selbst als sehr sicher einschätzte, waren über 60 % der iPhones, die mit Microsoft Authenticators verbunden waren, anfällig für die Fernausnutzung und das Klonen des Microsoft Authenticators durch einen Angreifer. Die Hygiene von Mobilgeräten ist von entscheidender Bedeutung, wenn Sie sich auf sie als zweiten Authentifizierungsfaktor verlassen.

Die wichtigsten Erkenntnisse über Microsoft Cloud Angriffe

Die oben genannten Überprüfungen sind keineswegs erschöpfend - wirksame Kennwortrichtlinien, die Überprüfung von Benutzern anhand von Listen mit durchgesickerten Zugangsdaten und das Management von Risiken im Zusammenhang mit der Zustimmung von Benutzern zu Anwendungen von Drittanbietern sind allesamt wertvolle Schritte, die Unternehmen unternehmen können, um ihr Risiko zu begrenzen.

Diese drei Angriffswege stellen jedoch wichtige Autobahnen dar, denen sowohl raffinierte als auch opportunistische Cyberangreifer folgen, um unbefugten Zugriff auf Identitäten, sensible Daten und Systeme zu erlangen. Durch die Verwaltung und Überwachung dieser Wege haben Netzwerkverteidiger nicht nur die Möglichkeit, die Schwierigkeit eines Angriffs zu erhöhen, sondern auch Anzeichen für einen laufenden Angriff zu entdecken.

Wenn Ihr Unternehmen an diesen Fronten Probleme hat, wenden Sie sich an uns - wir können Ihnen helfen. Unser Siriux-Team verfügt über umfangreiche Erfahrungen mit der Bedrohungsjagd in M365-Tenants, und unsere Härtungsrichtlinien wurden auf der Grundlage von Scans einiger der am stärksten angegriffenen Tenants der Welt entwickelt.

Nehmen Sie am Donnerstag, den 03. März, um 16:00 Uhr GMT am Vectra Webinar mit Aaron teil : Schutz von Microsoft 365 vor fortgeschrittenen Bedrohungen.

‍

Möchten Sie mehr erfahren?

Vectra® ist der führende Anbieter von KI-gesteuerter hybrider cloud Bedrohungserkennung und -bekämpfung. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud-basiert. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um sich vor Ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns