Ich habe mich kürzlich mit Jennifer Geisler, CMO von Vectra, getroffen, um einen Einblick in den aktuellen Spotlight-Bericht zu erhalten: Vision und Sichtbarkeit: Die 10 wichtigsten Bedrohungserkennungen für Microsoft Azure AD und Office 365. Wir wollten einige der Schichten des Berichts aufdecken und wirklich herausfinden, was eine Bedrohungserkennung wirklich bedeutet, was die Erkennung von Bedrohungen so schwierig macht und wie Unternehmen eine Vision und Sichtbarkeit schaffen können, um zu messen, ob ihr Sicherheitsansatz erfolgreich ist oder nicht. Wenn Sie das Webinar nicht gesehen haben, können Sie den Bericht herunterladen.
Der Bericht beschreibt die häufigsten Bedrohungserkennungen, die Vectra-Kunden sehen und die sie verwenden, um Angriffe auf Microsoft Azure AD und Office 365 zu bestätigen. Nicht alle Erkennungen sind bösartig, aber sie werden alle von Kunden aufgrund von seltenem Verhalten erhalten, das entweder als anormal oder unsicher auf diesen cloud Plattformen eingestuft wird. Sie erhalten einen Überblick darüber, wie die Erkennungen je nach Unternehmensgröße ausfallen, was die einzelnen Erkennungen in Bezug auf potenzielle Angriffsaktivitäten bedeuten könnten und wie sich die Erkennungen auf einen realen Angriff auf die Lieferkette zurückführen lassen.
Der Bericht bietet nicht nur aufschlussreiche Daten und Forschungsergebnisse, sondern kann auch eine hilfreiche Ressource für Sicherheitsteams sein, die eine Vision und Sichtbarkeitentwickeln - wirkonnten alle diese Bereiche während des Webinars einen Schritt weiter bringen. Eine der Fragen, die aufkamen, war: "Was macht die Erkennung von Bedrohungen so schwierig?"
Ich wünschte, es gäbe eine einfache, einzeilige Antwort darauf, aber diese Frage muss auf die Handlungsfähigkeit zurückgeführt werden. Zunächst muss definiert werden, was eigentlich als Bedrohung gilt. Handelt es sich um ein Exploit, eine Kompromittierung oder eine ungewöhnliche Aktivität? Wenn Sie dann Bedrohungen erfassen wollen, sollten Sie in der Lage sein, etwas zu identifizieren, das nicht offensichtlich ist, denn die Angreifer von heute werden immer raffinierter und sind in ihren Bewegungen viel weniger offensichtlich. Wie Sie im Spotlight-Bericht sehen werden, verfolgen Angreifer ihre Ziele mit Aktionen, die autorisierten Benutzeraktivitäten sehr ähnlich sind - Sie müssen nicht nur in der Lage sein, dies zu erkennen, sondern auch die notwendigen Abhilfemaßnahmen und Reaktionen darauf zu ergreifen.
Es mag selbstverständlich sein, aber die Tatsache, dass wir jetzt Top-10-Bedrohungserkennungsdaten für diese beliebten Microsoft-Dienste zur Verfügung haben, ist ein Beweis dafür, wie viele Unternehmen diese Plattformen nutzen. Microsoft hat über 250 Millionen bezahlte Office 365-Sitzplätze, und dafür gibt es sicherlich einen guten Grund - das Tool ist unglaublich wertvoll, vor allem wenn es darum geht, Mitarbeiter an entfernten Standorten in Verbindung und produktiv zu halten. Es ist nur so, dass Cyberkriminelle von der großen Zahl der Nutzer Notiz nehmen, was die Erkennung ihres Verhaltens wichtiger denn je macht.
Die 3 wichtigsten Erkennungen von Bedrohungen
1. O365 Riskanter Austauschvorgang
Es wurden abnormale Exchange-Vorgänge entdeckt, die darauf hindeuten könnten, dass ein Angreifer Exchange manipuliert, um Zugang zu bestimmten Daten zu erhalten oder den Angriff weiter voranzutreiben.
2. Azure AD Verdächtige Operation
Es wurden abnormale Azure AD-Vorgänge entdeckt, die darauf hindeuten, dass Angreifer nach der regulären Übernahme eines Kontos ihre Privilegien ausweiten und Vorgänge auf Admin-Ebene durchführen .
3. O365 verdächtige Download-Aktivität
Bei einem Konto wurde eine ungewöhnliche Anzahl von Objekten heruntergeladen, was darauf hindeuten könnte, dass ein Angreifer die Download-Funktionen von SharePoint oder OneDrive nutzt, um Daten zu exfiltrieren.
Es ist wie bei dem berüchtigten Bankräuber Willie Sutton, der gefragt wurde, warum er immer wieder Banken ausraubt. Er sagte: "Dort ist das Geld".
Wir erläutern, warum sich das Verhalten von Angreifern auf die Website cloud verlagert und welche Bedrohungserkennungen das meiste Potenzial für Angriffsverhalten bergen - zum Beispiel, warum eine Erkennung von Risky Exchange Operation bei O365 bedeuten könnte, dass ein Angreifer den Schutz deaktiviert und Daten exfiltriert. Wir zeigen Ihnen, warum die Vorstellung, dass Sie einen bösen Akteur aufhalten können, nicht mehr funktioniert, und wie Sie den Erfolg messen können - indem Sie tatsächlich wissen, was in Ihrer Umgebung vor sich geht.
Wir wünschen Ihnen viel Spaß bei der Diskussion und hoffen, dass Sie den Spotlight-Bericht ebenfalls nützlich finden.